「Key Group」ランサムウェア被害に利用可能な無料の復号ツールが登場

サイバー犯罪

はじめに

Key Groupランサムウェアは、その強力な暗号化技術で悪名高く、多くの団体や個人に大きな損害を与えています。

セキュリティ専門家によって開発された、Key Groupランサムウェアの特定のバージョンに対応した復号ツールが発表されています。

ただしこの復号ツールは、Key Groupランサムウェアの特定のバージョンにおける、暗号化の設計ミスに基づいて作成されています。犯罪者側も勿論この弱点には近いうちに気づく、あるいは、既に気づいているはずで、ランサムウェアがアップデートされれば、それ以降はこのツールが適用出来ない可能性が高いと思われます。

ランサムウェア被害を予防し、被害を最小化するための対策は今後もより一層重要となると考えられます。

記事の翻訳

Ionut Arghire による記事です。

サイバーインテリジェンス会社のEclecticIQは木曜日に、Key Groupランサムウェアの被害者が身代金を支払うことなくデータを回復できるようにする無料の復号化ツールのリリースを発表しました。

keygroup777としても知られるKey Groupは、ロシア語を話すサイバー犯罪アクターであり、個人を特定できる情報(PII)の販売や侵害されたデバイスへのアクセス、および被害者の金銭の恐喝で知られています。

このグループは、プライベートTelegramチャネルを使用してメンバーと通信し、攻撃的なツールの詳細を共有していることが観察されています。この通信に基づいて、EclecticIQは、グループが被害者のデバイスへのリモートアクセスにNjRATを使用し始めたと考えています。

Key Groupは、1月6日にランサムウェア・ファミリーを初めて導入し、その後も攻撃に使い続けています。

被害者のマシンで、Key Group ランサムウェアはボリュームシャドウコピーを削除し (既製のツールを使用)、Windowsサーバーバックアップツールで作成されたバックアップ、およびWindowsエラー回復画面やWindows回復環境などのセキュリティ機能を無効にしようとします。

このランサムウェアは、アバスト, ESET, カスペルスキーを含む、さまざまなベンダーのマルウェア対策ツールの更新メカニズムを無効にすることもできます。

脅威の分析中に、EclecticIQのセキュリティ研究者は、被害者を支援するためにランサムウェアの復号化機能を開発できるいくつかの暗号化エラーを発見しました。

研究者たちは、ランサムウェアがAES暗号化を採用し、暗号化されたデータに十分なソルトを適用せずに、base64でエンコードされた静的キーを使用して被害者のファイルを暗号化することを発見しました。

「攻撃者は、ソルティングと呼ばれる暗号化技術を使用して、暗号化されたデータのランダム性を高めようとしました。しかし、このソルトは静的なものが採用されており、暗号化処理のたびに同じソルトが使用されるため、暗号化ルーチンに重大な欠陥をもたらしています。」とEclecticIQは説明します。

しかし、被害者のコンピューターに書き残された身代金メモによれば、攻撃者は、ファイルが軍用グレードの暗号化アルゴリズムで暗号化されており、身代金を支払うことによってのみデータを回復できると主張しています。

EclecticIQは、無料の復号化ツールを使用して、拡張子が.keygroup777tgのファイルを復号化できると述べていますが、このツールは実験的なものであり、すべてのKey Groupランサムウェアサンプルで機能するとは限らないと警告しています。

このツールは、キーグループランサムウェアに関するEclecticIQのレポートの下部にあるPythonスクリプトであり、8月3日以降にコンパイルされたサンプルでのみ機能します。

出典

Free Decryptor Available for ‘Key Group’ Ransomware – SecurityWeek

注意書き

本ブログでは、個人的な情報収集・学習を目的に元の記事を翻訳・要約して掲載していますが、記事内容の正確性について、当方は一切の責任を負いません。必ず出典元の情報をご確認の上、各自の責任にてご利用ください。

コメント

タイトルとURLをコピーしました