CyberVolk Ransomware: A New and Evolving Threat to Global Cybersecurity
2024/09/05 SecurityOnline — サイバー犯罪の世界では新しいプレーヤーである、インドのハッカー・グループ CyberVolk だが、その洗練されたランサムウェアの技法で波紋を引き起こしている。2024年7月に初めて検出された CyberVolk ランサムウェアは、高度な機能と急速な進化により、急速に悪評を高めている。このグループの最大の武器である CyberVolk ランサムウェアは、その高度な機能と拡大する影響により、ThreatMon などのサイバー・セキュリティ専門家の注目を集めている。
CyberVolk はダークウェブでデビューし、一連の攻撃を成功させることで、すぐに評判を得ることになった。さまざまなサイバー犯罪である、DDoS 攻撃/データ侵害/Web サイト改竄などを手掛ける同グループは、Telegram や X などのプラットフォームで、公式アカウントを維持するという存在感でも知られている。
そして、サイバーセキュリティ・コミュニティを警戒させているのは、彼らのランサムウェアである。2024年7月に検出された CyberVolk ランサムウェアは、Ransomware-as-a-Service (RaaS) としてアンダーグラウンド・フォーラムにも登場した。つまり、適切なコネを持つ誰もが、このツールを借りて独自の攻撃を開始できるため、CyberVolk ランサムウェアは、入手が容易で危険な商品となっている。
登場したころの CyberVolk ランサムウェアは、AES 暗号化アルゴリズムを用いて被害者のファイルをロックダウンしていた。しかし、VirusTotal のリークにより、このランサムウェアの内部構造が明らかになったことで、はるかに高度な更新バージョンがリリースされた。この新しい亜種には、ChaCha20-Poly1305/AES に加えて量子耐性テクノロジーなどの、より強力な暗号化アルゴリズムが組み込まれている。これらの強化策により、量子コンピューティング・リソースを備えた組織であっても、復号化の処理が、ほぼ不可能になっている。
CyberVolk ランサムウェアで最も顕著な機能の1つは、Command and Control (C2) サーバに接続せずに動作する点にある。この自律的な暗号化プロセスにより、マルウェアの検出とブロックが困難になり、回復の試みに失敗すると、攻撃者は厳しいペナルティを科してくる。もし、間違った復号キーを入力すると、このランサムウェアは暗号化したデータを自動的に削除する。そのため、被害者は身代金要求に応じる以外に手段がなくなるという。
ThreatMon により CyberVolk ランサムウェアの技術分析では、いくつかのユニークで懸念される機能が明らかになっている。たとえば、このランサムウェアは、実行時にタスク・マネージャなどの重要なシステム・ツールへのアクセスをブロックし、ユーザーによる暗号化プロセスの終了を阻止する。そして、このランサムウェアは、すべてのファイルの暗号化を数分で完了し、被害者に $1,000 身代金要求を提示する。被害者には厳しい期限が定められ、5時間以内に身代金を支払わない場合には、データが完全に破壊されることになる。
このマルウェアは、デバッガー検出やランタイム環境チェックといった、検出を回避するための高度な戦術を採用している。また、接続されたデバイスやネットワーク共有全体にワームのように拡散していくため、1台のマシンへの感染から、ネットワーク全体へと被害が拡大していく可能性もある。
興味深いことに、CyberVolk は高度な機能を有しているが、いくつかの脆弱性が存在することを、ThreatMon は特定した。たとえば、このランサムウェアは、タスク・マネージャーをブロックするが、PowerShell はブロックしない。したがって、PowerShell を使用できる熟練したユーザーであれば、特定のコマンドを使用して暗号化プロセスを停止できる。さらに、このランサムウェアにおける、5時間に設定されたカウント・ダウン・タイマーは、ユーザー・システムの “time.dat” ファイルの編集で操作できるため、サイバー・セキュリティ・チームによる、攻撃緩和するための時間を増やせる可能性がある。
初期のレポートでは、CyberVolk ランサムウェアの収益は僅か $2,632 だったが、この数か月で収益が急増しているという。ThreatMon は、このグループはランサムウェア攻撃で $20,000 以上を稼いでいると推定している。つまり、この活動における経済循環の確立が、懸念されるほどの増加が示されている。
CyberVolk ランサムウェアは、企業と個人の両方にとって深刻な脅威である。ワームのように拡散する能力と、高度な暗号化と回避のテクニックが連動することで、きわめて手ごわい敵対者となっている。ただし、その構造に脆弱性が存在するため、効果的な対策も期待できる。
サイバー・セキュリティの専門家が推奨するのは、ランサムウェア攻撃のリスクを最小限に抑えるために、定期的なソフトウェア更新/堅牢なバックアップ戦略/サイバーセキュリティ衛生に関する従業員教育などを推進することである。
インドに拠点を置く CyberVolk ランサムウェアですが、C2 レス攻撃の手口により、そのプレゼンスと高めているようです。身代金も $1,000 とのことなので、中小零細の企業を狙う、薄利多売のビジネスモデルを試行していると推測されます。この手のランサムウェアとしては、QNAP を狙い続けていた Deadbolt があります。こちらも、身代金 $1,000 の薄利多売ビジネスを展開していました。よろしければ、カテゴリ Ransomware も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.