CyberVolk Ransomware – 親ロシア派ハッカー集団

CyberVolkは、ロシアへの忠誠を公言するハクティビスト集団で、2024年7月に新しいランサムウェアの亜種を展開しました。彼らは政治的な動機を持ち、現在、noName57(16)のメンバー3人の逮捕を受けて、ロシア系ハッカーグループがスペインに対して攻撃を行っています。このグループは、NATOや西側諸国を支援する国々への攻撃で知られています。

聖戦

2024年7月20日 逮捕者3名は、マナコル(バレアレス諸島)、ウエルバ、セビリアで身柄を確保しました。自宅を捜索した際に関連するコンピュータ機器や書類を押収しています。容疑者たちは、自発的にNoName057(16)が組織したDDoS攻撃に参加しました。

攻撃は公的機関および戦略的セクターの企業を標的にしており、特にウクライナ支持を表明した国々がターゲットとなっています。これには、スペインおよびその他のNATO加盟国が含まれます。NoName057(16)は、ロシアによるウクライナ侵攻後に結成されたハクティビスト集団であり、同集団は「西側の反ロシア的行動に応酬する」と主張しています。

このグループは、独自に開発したDDoS攻撃用のソフトウェア「DDoSia」を使用しています。「DDoSia」は、グループの目的を支持する個人が自主的に利用できるようになっており、協力者が分散的に攻撃を行う仕組みです。

この事件の捜査は、スペイン国家検察庁および情報犯罪専門検察が主導しました。捜査の過程で証拠が集まり、今回の逮捕に至りました。Guardia Civilは今後も、攻撃に関与した他の参加者を特定するために、さらなる捜査を継続します。

Tres detenidos por delitos de daños informáticos con fines terroristas

CyberVolkは、70以上のグループが結束してスペインに対して「聖戦」と称する報復攻撃を行っている一団です。彼らの攻撃によって27の機関が影響を受けたことが確認されており、NETSCOUTのウェブサイトには攻撃の詳細な分析と特徴が掲載されています。

313 TeamCyberStineNetForceZNemesisRedHatElite
7 October UnionAstroNetworksNetSychoVendettaNetworksColtisHere
CyberArmy Of RussiaTeam YSGHunt3rKill3rsNasa1788LulzSec
CyberHoodKhilafah HackersHackersYourAnonUnderWorld
High SocietyInsanePakistanVoltActivistShadowedWhisperZBlackHat
HorusTeamDXQRTXXHexaLockerKotoBotWebSec
KeymousCyberVolkLapasusB&D ServicesPicoCorp
NoName057(16)Anonymous ArabsAzzaSecUCC TeamSumatraSelatan
ShadowSeekersSpectrum BotnetTarzanBotnetPPHMAnon Collective
SilentCyberForceCryptarisAl JihadiCryptoCorpUFC Leagues
UserSecGhostXNetAlixSecAnonymous DZAl Ahad
NETSCOUT Update July 24, 2024: The recent posts boasts 70 members and lists the following active groups

ハクティビストによる呼びかけ以降、攻撃の増加は、NoName057(16)などによる報復の可能性が高く、日本の国内企業に対する攻撃も増加しています。

CyberVolkランサムウェアの詳細

https://urlscan.io/result/d139516e-8b6a-4357-9399-a924a59ec85c/content

  • 別名:CYBERBYTES、CYB3R BYTES
  • 概要
    • 暗号化方法:AES、SHA-512、RSA-4096のアルゴリズムを組み合わせてユーザーデータを暗号化します。
    • 身代金要求:ファイルを復元するために、$1000相当のビットコイン(BTC)を要求します。
    • 実行ファイル名ransom.exe
    • プログラミング言語:C/C++で書かれています。
    • 活動期間:2024年7月初旬に活動が確認されました。
    • ターゲット:英語圏のユーザーを主に狙い、日本を含め世界中に拡散する可能性があります。
  • 検出結果(各セキュリティソフトによる検出名)
    • DrWeb:Trojan.Encoder.39187
    • BitDefender:Trojan.GenericKD.73332128
    • ESET-NOD32:Win32/Filecoder.OQWの亜種
    • Kaspersky:HEUR.Win32.GenericCryptor.gen
    • Malwarebytes:Trojan.FileCryptor
    • Microsoft:Ransom/CyberVolk.PA!MTB
    • Rising:Ransom.Agent!8.6B7 (CLOUD)
    • Tencent:検出名未記載
    • TrendMicro:Ransom_CyberVolk.R002C0DG524
  • 識別情報
    • 暗号化ファイルの拡張子.cvencが追加されます。
    • 身代金要求メモCyberVolk_ReadMe.txtというファイル名で保存されます。
    • 身代金メモの内容
Greetings.
All your files have been encrypted by CyberVolk ransomware.
Please never try to recover your files without decryption key which I give you after pay.

They could be disappeared…
You should follow my words.
Pay $1000 BTC to below address.
My telegram: @hacker7
Our Team: https://t.me/cubervolk
We always welcome you and your payment.
  • 追加の特徴
    • ロック画面にも身代金要求が表示されます。
    • デスクトップの壁紙がCyber wolfの画像に変更されます。

技術的詳細と感染経路

  • 感染経路
    • 未保護のRDP(リモートデスクトッププロトコル)のハッキング
    • スパムメールや悪意のある添付ファイル
    • 偽装されたダウンロードリンク
    • ボットネット
    • エクスプロイトやマルウェア
    • ウェブインジェクション
    • 偽のアップデート
    • 再パッケージ化された感染インストーラー
  • 警告と推奨事項
    • 包括的なアンチウイルス保護の重要性:インターネットセキュリティまたはトータルセキュリティクラスのアンチウイルスを使用することが推奨されています。
    • バックアップの推奨:最低でも「3-2-1」バックアップ方式で重要なファイルのバックアップを作成すること。
  • 暗号化の対象となるファイルタイプ
    • MS Officeドキュメント(Word、Excel、PowerPointなど)
    • OpenOfficeドキュメント
    • PDFファイル
    • テキストファイル
    • データベースファイル
    • 写真や画像ファイル
    • 音楽ファイル
    • ビデオファイル
    • アーカイブファイル(ZIP、RARなど)
  • ランサムウェアに関連するファイル
    • CyberVolk_ReadMe.txt:身代金要求メモのファイル。
    • tmp.bmp:デスクトップの壁紙として設定される画像ファイル。
    • time.dat:特定の数字が含まれる特殊なファイル。
    • ransom.exe:悪意のある実行ファイル(ランダムな名前で存在する可能性あり)。
  • ファイルの場所
    • デスクトップフォルダ
    • ユーザーフォルダ
    • 一時フォルダ(%TEMP%
    • 具体的なパス例:
      • C:\Users\admin\AppData\Local\Temp\Rar$DRb3416.36390\ransom.exe
      • C:\Users\admin\AppData\Roaming\time.dat
      • C:\Users\admin\AppData\Local\Temp\tmp.bmp
  • ネットワーク接続とリンク
    • Telegram(テレグラム)連絡先
      • @hacker7
      • https://t.me/hackerk7
      • https://t.me/cubervolk
    • ビットコインアドレス
      • bc1q3c9pt084cafxfvyhn8wvh7mq04rq6naew0mk87
  • 分析結果とIOC(インディケーター・オブ・コンプロマイズ)

注意事項と更新情報

  • 新しい識別要素
    • 拡張子、メールアドレス、身代金メモなど、新たな識別情報は記事の更新部分で提供されており、最初のバージョンとは異なる場合があります。
  • 警告
    • 包括的なアンチウイルス保護を怠ると、ランサムウェア感染のリスクが高まります。
    • 定期的なバックアップの重要性が強調されています。

まとめ

CyberVolkは、政治的な動機からスペインに対して報復攻撃を行うハクティビストグループであり、彼らのランサムウェアはBabukのコードも一部使用しています。VT Graphを使用して指標を確認し、攻撃に関連するサーバーやIOCをブロックすることが推奨されます。彼らの活動は、逮捕に対する報復として行われており、今後も同様の攻撃が続く可能性があります。CyberVolkの戦略は、「一人が逮捕されれば集団で復讐する」という強いメッセージを伴っており、スペイン当局に対する復讐から日本を含めた世界へと攻撃範囲を広げています。

投稿者: 二本松 哲也

SPbD:Security&Privacy by Design Founder ー OWASP Member ー ITは人々の生活をあらゆる面でより良い方向に変化させること ー 競争原理から共創原理へ