ランサムウェア「Maze」がサイバー犯罪活動を停止中

Maze ransomware is shutting down its cybercrime operation

サイバー犯罪組織「Maze」は、ランサムウェア攻撃を行う有力プレイヤーに上り詰めたが、現在は活動を停止しています。

Mazeランサムウェアは2019年5月に運用を開始し、同年11月に活発化しました。

Mazeの特徴の一つは、データを盗むということと暗号化という、二重の恐喝戦術を導入することでランサムウェア攻撃に革命をもたらしました。

Mazeは「Maze News」というサイトを立ち上げ、身代金を払っていない被害者のデータを公開したり、活動をフォローするジャーナリストに向けて「プレスリリース」を発行したりしていることも特徴です。

この二重に恐喝を行う手口は、REvil、Clop、DoppelPaymerを含む他の大規模なランサムウェア運用を行っている組織ですぐに採用され、独自のデータ漏洩サイトが公開され、現在ではほぼすべてのランサムウェアにおいて使用される標準的な戦術となっています。

しかい、先月初め、BleepingComputerは、Mazeが2019年にGandCrabが行ったのと同様の方法でランサムウェアの運営を閉鎖する準備をしているという噂を聞き始めました。

BleepingComputerは、Mazeが運営を停止する過程にあること、2020年9月に新たな被害者の暗号化を停止したこと、被害者から最後の身代金の支払いを搾取しようとしていることを聞かされました。

BleepingComputerが閉鎖の有無を確認するためにMazeに連絡したところ、"プレスリリースを待った方がいい "と言われました。

今週、Mazeはデータ流出サイトにリストアップしていた被害者の削除を開始した。サイトに残されているのは、2人の被害者と、以前、すべてのデータを公開していた人たちだけです。
「Crysis」「TeslaCrypt」「Shade」で行われたように、ランサムウェアの運営がシャットダウンする際にマスター復号鍵を公開することは珍しくありません。
BleepingComputerはMazeに連絡を取り、運営をシャットダウンする際に鍵を公開するかどうかを尋ねていますが、返答はありませんでした。

BleepingComputerは、多くのMazeの関連会社が、Egregorと呼ばれる新しいランサムウェアの運用に切り替えたことを知りました。
Egregorは9月中旬に運用を開始し、ちょうどMazeが暗号化運用をシャットダウンし始めた頃でした。下のID-Ransomwareのサブミッションのグラフからもわかるように、すぐに非常に活発になりました。

Egregorは、MazeとSekhmetが同じランサムノートを利用していること、支払いサイトのネーミングが似ていること、同じコードの多くを共有していることから、MazeとSekhmetの両方と同じ基礎となるソフトウェアであると考えられています。

これは、Maze、Sekhmet、Egregorが同じソフトウェアであると述べたランサムウェアの脅威のアクターによっても確認されました。

また、EgregorとSekhmetの両方を分析したランサムウェア専門家のマイケル・ガレスピー氏は、身代金を支払ったEgregorの被害者が「Sekhmet Decryptor」と題された復号器を送られてきたことを発見しました。

残念ながら、このことは、ランサムウェアのオペレーションがシャットダウンしたとしても、関与する脅威行為者が同様に引退することを意味しないことを示しています。彼らは次のランサムウェア運用に移るだけです。