ネット上の情報によると、Devmanランサムウェアがエレクトロニクス商社のエレマテック社(東京都港区)への攻撃を主張しているということです。エレマテック社はトヨタグループの豊田通商株式会社の子会社です。
5月に不審なメールへの注意を喚起
エレマテック社はランサムウェア攻撃を受けているとの発表をしていませんが、5月29日付けのリリースでエレマテック社や同社のグループ会社の社名や関係者を装った不審なメールが発信されているとして注意を呼びかけるリリースを発表しています。不審なメールは、エレマテック社やElematec USA Corporationによる採用通知を装っており、メールへの返信やウェブフォームに個人情報や口座情報の記入を求める内容だということです。
不審なメールとの関係は定かでありませんが、ネット上の情報によるとDevmanランサムウェアグループがエレマテック社に対して1000万ドルの身代金を要求していると主張しているということです。窃取したと主張する顧客データや財務情報など機密性の高いデータを買い取ることを求めているようです。
Devmanはこれまであまり聞いたことがなかったのですが、どのようなランサムウェアなのでしようか? シマンテックによるとDragonForceマルウェアファミリーのカスタマイズされたランサムウェア亜種で、データを暗号化し、ロックされたファイルにDEVMAN拡張子を追加するということです。身代金要求メッセージは、DragonForceランサムウェア亜種からの直接のコピーで自身の身代金要求メッセージも暗号化しているということです。シマンテックはこのランサム亜種はまだ開発段階にあるとの見解を示しています。一方、サイバーセキュリティの情報サイトTechNaduによると、DevmanはQilin、RansomHub、DragonForceなどのRaaS提携先を活用しており、今年4月にはQillinとDevmanがスペインの衣料品、靴小売業者のFeel Four S.L.に共同で侵入したと主張したということです。
DevmanとDragonForceとの関係
名和利男氏がCTOを務める日本サイバーディフェンスは今年5月に「RansomHubの崩壊とランサムウェアのカルテル型モデルへの移行: サイバーリーダーが知っておくべきこと」という記事を公開しています。この記事によると今年3月下旬にRansomHubのインフラが突如活動を停止し、数日後にDragonForceがRansomHubの活動についてDragonForceのインフラに移行したと主張、「ランサムウェア・カルテル」と称する枠組みへの参加をアフィリエイトに呼びかけたということです。DragonForceはリークサイトや交渉ツール、サポート制度などの犯罪インフラをアフリエイトが共有して使えるサービスを整えているようです。
DevmanはもともとはRaaSを活用しているアフィリエイト、ハッキンググループだったようですが、そのランサムウェアにはDragonForceのコードを再利用している一方で独自の工夫が加えられているということですので、アフィリエイトであったDevmanがDragonForceランサムウエアの資源を活用した独自のランサムウェアを開発して新たなランサムグループに変貌しつつあるようにも推測されます。Devmanは最近、独自の専用リークサイトを構築し、主にアジアとアフリカで40件近くの被害者がいるとの主張をしているということですので、エレマテックへの攻撃についてもその40件の中の1件なのかもしれません。
日本サイバーでフェンスの記事は、「サイバー犯罪の組織運営や拡大手法は大きな転換点を迎えており、こうした変化を的確に捉えることが、将来的なリスクを見極め、効果的な対策を講じるうえで不可欠となる」と指摘していますので、ランサムウェアグループやRaaSをめぐる「変化」について注視していきたいと思います。
■出典
https://medium.com/@anyrun/devman-ransomware-analysis-of-new-dragonforce-variant-ede707fd30b1
RansomHubの崩壊とランサムウェアのカルテル型モデルへの移行:サイバーリーダーが知っておくべきこと