ランサムウェア「LV」は、最も有名なランサムウェアグループ「REvil」のソフトウェアをハイジャックし、改変したようです。
Secureworks社のセキュリティ研究者によると、LVグループは、REvilを攻撃した際に実際の暗号化を実行するバイナリファイルを入手したと述べています。
研究者によると、LVグループは、このバイナリとその設定ファイルを修正するために、Hexエディタを使用したようで、コード改変の結果、REvilランサムウェアの亜種であるLVランサムウェア誕生しました。
Secureworks社は発表したレポートの中で、LVのコードをより詳細に分析したところ、LVとオリジナルのREvilバイナリとの関連性が明らかになったと述べています。
例えば、LVランサムウェアには、REvilが2人の有名なマルウェア・アナリストを侮辱したREvilコードブロックまで含まれています。
Secureworks社によると、LVグループはREvil v2.03のベータ版を改変したと思われ、それが最終的に公式のLVランサムウェアになったとのことです。
しかし、LVグループは、トップクラスのランサムウェアをあからさまなコピーペースト作業を行って改変していましたが、バックエンドのインフラストラクチャはREvilグループのコピーではないインフラを使っているとSecureworksは述べています。
例えば、LVグループはREvilグループが感染の追跡に使用していたコマンド&コントロール(C&C)サーバーの利用を停止しています。
Secureworks社によると、LVグループが “C2インフラストラクチャを維持したり、被害者のデータを処理して追跡するために必要なバックエンドの自動化を開発したりする能力がない可能性がある “ことを示唆しています。
また、Secureworksのアナリストは、LVの被害者が身代金を支払うように言われたダークウェブポータルが、被害者やアナリストがアクセスしようとすると、しばしばダウンしたり、エラーが返されたりすることを発見し、この説がさらに有力視されています。
これは、LVグループが スキル不足やリソース不足のため、柔軟性のあるインフラを維持するのに苦労している ことを示しているのではないかとSecureworksは考えています。
Comments