Decryptor for DoNex, Muse, DarkRace, (fake) LockBit 3.0 ransomware released
2024/07/08 HelpNetSecurity — DoNex ランサムウェアと、その前身である Muse/偽 LockBit 3.0/DarkRace における暗号の欠陥を、Avast の研究者たちが突くことに成功した。その結果として、これらのランサムウェアの亜種により、暗号化されたファイルを復号化するツールが作成された。7月8日に公開されたレポートで、「我々は、法執行機関と協力して、2024年3月から DoNex ランサムウェアの被害者に復号プログラムを密かに提供してきた」と、同社の脅威調査チームは語っている。
DoNex について
2024年3月上旬に出現した DoNex ランサムウェアにより 、複数の企業が被害者となった。他の研究者たちも、このマルウェアを分析し、その結果を共有している。
Avast の研究者たちは、「DoNex は被害者に標的型攻撃を仕掛けており、我々のテレメトリにより、米国/イタリア/ベルギーで積極的に活動していたことが判明した。2024年4月以降において、DoNex の進化は止まったようであり、それ以降において新しいサンプルは検出されていない。さらに、DoNex の TOR サイトは、その時点からダウンしている」と述べている。
復号化ツールの使用ステップ
DoNex ランサムウェアにより暗号化されたファイルには、固有の拡張子 (被害者 ID) が付与され、身代金メモ・ファイルは Readme.victimIDnumber.txt という名前になっている。DoNex 系列のランサム・ノートには、ランサムウェア/グループの名前 (Muse/DarkRace など) が記載されているという共通点がある。
復号化ツールを使用する場合には、ツールをダウンロードした後に、復号化が必要なドライブ/フォルダ/ファイルのリストと、暗号化されたファイルとオリジナル・ファイルを提供する必要がある。それにより、残りのファイルを復号化するのに必要なパスワードが、復号化ツールにより割り出される。
Avast の研究者たちは、「復号化ツールの最後のページでは、暗号化されたファイルのバックアップも選択できる。これらのバックアップは、復号化プロセス中に何か問題が発生した場合に役立つかもしれない。この選択はデフォルトで選択されており、私たちはこれを推奨する」と述べている。
6月末に開催された Recon 2024 conference で、DoNex の脆弱性が明らかになったことで、Avast のチームはツールの公開を決定した。
Avast が頑張りましたね。このブログでは初登場の DoNex ですが、2024/03/20 の「TeamCity の脆弱性 CVE-2024-27198:さまざまな脅威アクターが武器化している」にチラッと名前が出ていました。それと、偽 LockBit というのが面白いですが、この世界での競合も熾烈なんでしょうね。それと、この Avast のツールですが、文中のリンクをクリックすると、ダイレクトに “.exe” が落ちてきますので、ご注意ください。よろしければ、カテゴリ Ransomware も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.