新たなRaaS「The Gentlemen’s RaaS」の登場
脅威インテリジェンス研究者たちは、アンダーグラウンドのハッキングフォーラムで活発にリクルートされている新たなRaaS(Ransomware-as-a-Service)オペレーション「The Gentlemen’s RaaS」を確認しました。このオペレーションは「zeta88」というハンドル名を使用するオペレーターによって運営されています。このクロスプラットフォームの脅威は、GoとC言語でコード化されたWindows、Linux、ESXiシステム向けの特殊な暗号化ロッカーを提供し、ランサムウェアの能力における著しい進化を示しています。これは、複数のオペレーティングシステムにわたる企業インフラを標的とするランサムウェアオペレーションの高度化と商業化の進行を浮き彫りにしています。
有利なアフィリエイトプログラム
The Gentlemen’s RaaSは、経験豊富な脅威アクターや組織犯罪グループを引き付けるために、異例なほど有利なアフィリエイトプログラムを採用しています。オペレーターは、アフィリエイトに身代金収益の90%という驚異的な割合を提供し、運用手数料としてわずか10%しか保持しません。この寛大な収益分配は、競合するRaaSプラットフォームとは一線を画し、オペレーターが自身の技術インフラと被害者獲得能力に大きな自信を持っていることを示唆しています。アフィリエイトプログラムは、パートナーが身代金交渉を完全にコントロールすることを許可しており、オペレーターが技術的なバックエンドと被害者データのホスティングを処理する一方で、彼らがコミュニケーションと恐喝戦術を独立して管理できます。
技術的アーキテクチャと暗号化
The Gentlemen’s RaaSの技術仕様は、複数のプラットフォームにわたる慎重な設計を明らかにしています。
- WindowsおよびLinuxロッカー: Goで開発され、NAS(ネットワークアタッチトストレージ)やBSDシステムを含む広範なシステムを標的としています。
- ESXiロッカー: Cでコード化され、約32キロバイトという非常に小さなフットプリントを維持し、仮想インフラへのステルスな展開を可能にします。
両コンポーネントは、XChaCha20暗号化とCurve25519鍵交換メカニズムを組み合わせた軍事グレードの暗号化を採用しており、ファイルごとに一時的な鍵を生成することで、一括復号化攻撃を防ぎます。
伝播メカニズムと永続性
このランサムウェアは、侵害されたネットワーク全体に横方向に拡散するために、複数の洗練された伝播メカニズムを採用しています。自己伝播機能は、WMI(Windows Management Instrumentation)、WMIC、スケジュールされたタスク(SCHTASKS)、サービスコントローラー(SC)、およびPowerShellリモート処理を活用して、ユーザーの介入なしにシステム間を移動します。永続性のために、マルウェアはスケジュールされたタスクとレジストリの変更を通じて起動時実行機能を確立し、感染したシステムがシステム再起動後もマルウェアを維持するようにします。自動化されたネットワーク偵察は、包括的な共有リソースの発見と暗号化を可能にし、アクセス可能なネットワークリソースを体系的に特定し暗号化します。
運用セキュリティと配布
The Gentlemen’s RaaSは、プロの犯罪組織の基準を反映したいくつかの運用セキュリティ対策を実施しています。
- パスワード保護されたカスタムビルドと復号化ツール: 不正な実行と分析を防ぎます。
- ユニバーサル復号化ツール: すべての運用モードで暗号化されたファイルを復元できる技術的特徴は、このプラットフォームを他の洗練されていない競合他社と区別します。
- 地理的境界の適用: ロシアおよびCIS(独立国家共同体)地域を回避しており、ロシア語圏のサイバー犯罪オペレーションで一般的に見られるパターンです。
- 専用のデータ漏洩ウェブサイト: 持ち出された情報を公開するために維持されており、現代のランサムウェアオペレーションの確立された二重恐喝モデルに従っています。
セキュリティ研究者は、これらの主張された機能は、実際のキャンペーンの観察を待って独立した評価によって検証される必要があると強調しています。このプラットフォームの出現は、ランサムウェア開発の永続的な商業化を示しており、脅威アクターは、企業ネットワーク全体で最大のインパクトを与えるように設計されたこのマルチプラットフォームツールセットを装備し、クロスプラットフォーム機能と運用インフラに多大な投資を行っています。Windows、Linux、および仮想化環境を運用する組織は、この高度でリソース豊富な脅威アクターからの高まるリスクに直面しています。