サイバーニュース.jp

世界のサイバーなニュースを配信

Meet ShinySp1d3r: New Ransomware-as-a-Service created by ShinyHunters

カテゴリ:

“`json
{
“title”: “新RaaS「ShinySp1d3r」登場:ShinyHuntersが独自ランサムウェア開発”,
“content”: “

新RaaS「ShinySp1d3r」登場:ShinyHuntersが独自ランサムウェア開発

脅威アクターグループShinyHuntersScattered Spiderが連携し、新たなRansomware-as-a-Service(RaaS)プラットフォーム「ShinySp1d3r」を開発していることが判明しました。これらのアクターはこれまで他グループのランサムウェアを利用してきましたが、現在は独自の攻撃運用を展開することを目指しています。このRaaSに関する最初の情報は、Telegramチャンネル上の「Scattered Lapsus$ Hunters」と名乗るグループから明らかにされました。

「ShinySp1d3r」暗号化ツールの詳細な機能

BleepingComputerはVirusTotalにアップロードされたShinySp1d3rのサンプルを発見し、その分析を進めています。この暗号化ツールは、ShinyHuntersが既存のコードベースを流用することなく、ゼロから開発していることが特徴です。ランサムウェア復旧企業Covewareのアナリストによる分析では、以下のような高度な機能が報告されています。

  • Windowsイベントビューアーへのログ記録を防ぐため、EtwEventWrite関数をフック
  • ファイルを開いているプロセスを特定し、暗号化を妨げないよう強制終了。(ただし、Restart Manager APIを使用する「forceKillUsingRestartManager」機能は未実装
  • 削除されたファイルの復元を困難にするため、ドライブの空き領域にランダムデータを書き込み。
  • ハードコードされたプロセスとサービスを終了。
  • 最適なデータ読み取り量を算出するため、利用可能なメモリをチェック。
  • 以下の手法でローカルネットワーク上の他のデバイスへ伝播する能力を内包:
    • deployViaSCM: サービスを作成してマルウェアを実行。
    • deployViaWMI: WMIとWin32_Process.Createを介してマルウェアを実行。
    • attemptGPODeployment: scripts.iniにGPOスタートアップスクリプトを作成してマルウェアを実行。
  • フォレンジック分析を防ぐためのアンチ分析機能(メモリバッファの内容を上書き)。
  • 暗号化されたファイルの復元を防ぐため、シャドウボリュームコピーを削除
  • 共有ネットワークを持つホストを検索し、暗号化を試行。
  • ファイルを異なるチャンクサイズとオフセットで暗号化(目的は不明)。
  • ファイルはChaCha20暗号化アルゴリズムを使用し、プライベートキーはRSA-2048で保護。
  • 各暗号化ファイルには、「SPDR」で始まり「ENDS」で終わるファイルヘッダーが含まれ、ファイル名、暗号化されたプライベートキー、その他のメタデータが格納。

身代金要求と脅迫の手口

暗号化されたデバイスの各フォルダには、「R3ADME_1Vks5fYe.txt」という名前の身代金要求メモが配置されます。このメモには、被害ファイルに関する情報、身代金交渉の方法、コミュニケーション用のTOXアドレスが含まれています。メモは「This communication has been issued on behalf of the ShinySp1d3r group.」という文言から始まり、被害者には3日以内に交渉を開始するよう促し、従わない場合はデータ漏洩サイトで情報が公開されると警告しています。

さらに、ランサムウェアはWindowsの壁紙を変更し、被害者に攻撃が発生したことと身代金メモを読むよう促します。

今後の展開とRaaSとしての運営

BleepingComputerはWindows版暗号化ツールのみを入手しましたが、ShinyHuntersはCLIビルドの完了を報告しており、Linux版およびESXi版の準備も進めていると述べています。また、「lightning version」と呼ばれる、速度に最適化された純粋なアセンブリ言語版も開発中とのことです。

このRaaSは、ShinyHuntersグループが「Scattered LAPSUS$ Hunters」(SLH)ブランドで運営し、「ShinySp1d3r」という名前がその連携を示唆しています。彼らは、医療分野(製薬会社、病院、診療所、保険会社)を標的としないと主張していますが、過去には他のランサムウェアグループが同様のポリシーを破棄した例があるため、注意が必要です。また、ロシアおよびCIS諸国に対する攻撃は禁止されています。


“status”: “publish”
}
“`

元記事: https://www.bleepingcomputer.com/news/security/meet-shinysp1d3r-new-ransomware-as-a-service-created-by-shinyhunters/

投稿をさらに読み込む