みっきー申す

ITに関する興味関心のまとめ、サイバーセキュリティニュースのまとめ、Twitterで配信中の情報まとめなどを公開します。

Shadeランサムウェアが運用を停止。75万以上の復号鍵が公開される

f:id:micro_keyword:20200429235020j:plain:w400

Shadeランサムウェアを用いた攻撃を行っていたとみられるオペレータチームよりShadeランサムウェアの復号鍵がgithubにて公開されました。

https://github.com/shade-team/keysgithub.com

本件について、これまでのShadeランサムウェアの活動等も振り返りつつまとめていきます。


目次


Shadeオペレータの声明

公開されたgithubにて、Shadeランサムウェアのオペレータは以下のように述べています。

  • Shade、Troldesh、Encoder.858として知られるランサムウェアの作成チームである
  • 2019年の終わりには、すでに配布を終了している
  • 75万を超える復号カギを公開することを決めた
  • 同様にして復号用のソフトも公開した
  • 今回の公開を機にセキュリティベンダが復号ツールを作ってくれるとの期待を込めている
  • すべての被害者への謝罪の意を述べるとともに、すべてのデータが復旧できることを願っている

もちろん、この声明自体が虚偽の者である可能性があるとは思いますが、すでに復号を確認したセキュリティ研究者もおり、信ぴょう性は高いかと思われます。

活動の縮小傾向という点では、ランサムウェアの種類判定サイトID Ransomewareへの検体提出数を見てもオペレータの宣言通り、2019年の末に向けて減少していることがわかりますね。

https://www.bleepstatic.com/images/news/ransomware/s/shade/id-r-submissions.png

BleepingComputerより

2020年5月2日Bitdefenderが復号ツールを公開

やはり、ランサムウェアの復号ツールといえば、Bitdefender!(個人の主観)

GandCrabの時同様、早速公開してくれていました。

labs.bitdefender.com


Shadeランサムウェアのこれまで

Shadeランサムウェアの登場は2014年後半だといわれています。(Kasperskyより)

securelist.com

出現当初の感染地域は、ロシアが大半で、残りはご覧の通り欧州を中心に世界中に広く散布されていました。

その後、2019年のはじめにPaloAltoが公表した調査結果によると、Shadeランサムウェアから確認できる通信ベースで、以下の順に多いことが確認できます。

  • アメリカ:2,010セッション
  • 日本:1,677セッション
  • インド:989セッション
  • タイ:723セッション
  • カナダ:712セッション

https://unit42.paloaltonetworks.com/wp-content/uploads/2019/05/Figure-6-Top-ten-countries-from-our-AutoFocus-search-results-as-shown-on-a-world-map.png

www.paloaltonetworks.jp

感染の手法としては、以下が確認されています。

  • 添付されたPDFファイルに含まれるアーカイブ(Zipなど)のダウンロードリンク経由
  • 添付されたアーカイブ(Zipなど)経由
  • メール本文中に含まれるアーカイブ(Zipなど)のリンク経由

https://www.paloaltonetworks.jp/content/dam/pan/ja_JP/Images/blog/2019/shade-ransomware-hits-high-tech-wholesale-education-sectors-in-u-s-japan-india-thailand-canada/Figure-4.-Flow-chart-for-malspam-based-Shade-ransomware-infections-jp.png


まとめ

昨年のGandCrabもそうですが、最近では、NemtyがRaaSを終了してフォーラムを非公開にするとの書き込みが確認されました。

www.zdnet.com

今回のShadeランサムウェア含め、ランサムウェアのオペレーションを行う人たちも結構運用負荷がかかって大変なんですかね。

ランサムウェアの運用で特徴的なのは、少なからずお金稼ぎが前提となっていることかと思います。 となってくると、ランサムウェアの運用コストに対し、リターンが少なくなっていると、運用を変えたり、やめてしまったりは妥当な行動なのかもしれないですね。

改訂履歴

  • 2020年5月8日 Bitdefenderが公開した復号ツールの内容を追記