みっきー申す

ITに関する興味関心のまとめ、サイバーセキュリティニュースのまとめ、Twitter(https://mobile.twitter.com/microkeyword)で配信中の情報まとめなどを公開します

ランサムウェアDoppelPaymer運営者によるリークサイトの開設

f:id:micro_keyword:20200225223637j:plain:w400

セキュリティ情報サイトBleepingComputerによると、ランサムウェアDoppelPaymerの運営者が、身代金の要求に応えなかった被害者のファイルを公開するための専用サイトの開設を確認したとのことです。

www.bleepingcomputer.com

今回はこの件について、簡単にまとめます。


目次


確認されたリークサイト

今回確認されたリークサイトはこのようなものです。

https://www.bleepstatic.com/images/news/ransomware/d/doppelpaymer/leak-site/pemex-page.jpg

https://www.bleepstatic.com/images/news/ransomware/d/doppelpaymer/leak-site/doppel-leaks-site.jpg

DoppelPaymerのオペレーターによると本サイトはテスト段階であるとのことで、BleepingComputerは伝えられているとのことです。

ん、ランサムウェアのオペレーターと連絡が取れるBleepingComputerって何。。。

現在、このテストサイトでは、被害に遭ったとみられる4社の情報が掲載されているとのことです。


DoppelPaymerとは

DoppelPaymerは、そのコードの類似性から、BitPaymerの派生形だと考えられています。

www.crowdstrike.com

BitPaymerは、CrowdStrikeがINDRIK SPIDERと名付けている攻撃グループの利用するランサムウェアです。

支払い用のポータルサイトもほとんど同じですね。 上がBitPaymerで、下がDoppelPaymer。

https://www.crowdstrike.com/blog/wp-content/uploads/2019/07/Figure-1-B.png

https://www.crowdstrike.com/blog/wp-content/uploads/2019/07/Figure-5-B-1.png

ちなみに、INDRIK SPIDERは、Dridexというカスタムマルウェアを利用することでも知られています。

Dridexについては、こちらでも述べているのでご参考にどうぞ。

micro-keyword.hatenablog.com

話は戻りますが、DoppelPaymerによる最初被害は、2019年6月に標的にされたとのことですが、検体のコンパイルタイムは2019年4月であることを確認されているとのことです。

とはいえ、相当新しいマルウェアであると同時に、昨年Sodinokibiがはやり始めたくらいの時期から登場しているものだということがわかります。


過去に確認された同様の手法

2019年の12月、ランサムウェアMazeを利用するグループによって同様の手法を用いた脅迫および情報公開が行われました。

当時は、アメリカのジョージア州にある大手ケーブルメーカーSouthwireに対し攻撃を行いました。

その後、2020年1月に入ってから攻撃後の金銭要求に従われていないことを確認したためか、Mazeが管理するサイトに窃取したデータを公開されました。

www.bleepingcomputer.com

この時は医療系の研究機関であるMedical Diagnostic Laboratoriesも被害に遭い、感染端末から窃取されたデータ9.5GBがMazeの運用するWebサイト上で公開されました。

www.bleepingcomputer.com

今回のDoppelPaymerの動きも、こういった方法を踏襲しているとみられます。

なお、近頃日本国内でも感染が活発してきている、ランサムウェアNemtyについても言及しておかなければなりません。

www.secure-sketch.com

こちらについても、Nemtyのアフェリエイトパネル上に、専用のWebページに関する情報が公開されていることが確認されています。

https://www.bleepstatic.com/images/news/ransomware/n/nemty/data-extortion-site/nemty-plans.jpg

www.bleepingcomputer.com

Nemtyについては、過去に記事を書いているので、ご参考までにご覧ください。

micro-keyword.hatenablog.com


まとめ

WannacryやNotPetyaが流行った2017年、Cryptminerが流行った2018年ときて、2019年はランサムウェア回帰、そして、2020年はランサムウェア+情報窃取機能みたいな流れになっているのでしょうか。

先日、MBSDさんが書かれていたRyuk Stealerなんかもまさに近い手法をとっていますよね。

www.mbsd.jp

私のブログでもちょうど昨年に、書いてみた記事があったのですが、国内のベンダーがその名義で記事を書いているということは日本でも感染が増えてきているということなのか。。。

micro-keyword.hatenablog.com

そして、マルウェアもそうですが、個人的には新型コロナウィルスにビビっています。。

昔だったら、世間のあおりに流されないかっこよさみたいなものを覚えていた気もしますが、 今は、なるべく感染しないようにということだけを心掛けています。

健康あっての仕事だし、その他もろもろですからね。

何とか収束に向かうことを祈っています。