Yanluowangの背景
Dryxiphiaとして知られるYanluowangランサムウェアは、シマンテックのThreat Hunter Teamによって2021年10月に初めて発見されました。しかし、2021年8月から稼働しており、脅威アクターはこれを使用して米国企業を攻撃していました。当該攻撃は、Fivehandsランサムウェアギャングが設計計したランサムウェアThieflockと同様のTTPを共有していました。この関連性は、関連会社の存在や影響力を通じて、両者が連携している可能性を示唆しています。このグループは、特に金融、製造、ITサービス、コンサルタント、エンジニアリングの分野で、世界的に身代金奪取に成功していることで知られています。
Yanluowangの攻撃は、通常、最初の偵察から始まり、認証情報の採取、データの流出を経て、最終的に被害者のファイルを暗号化します。侵害されたネットワーク上に展開されると、Yanluowangはハイパーバイザーの仮想マシンと実行中のすべてのプロセスを停止させ、.yanluowang という拡張子を使用してファイルを暗号化します。また、身代金要求のメモを含む README.txt という名前のファイルもドロップされます。このメモには、被害者が警察や復旧業者に連絡したり、自分でファイルを復号化しようとしないよう警告が書かれています。このアドバイスに従わない場合、被害者やその従業員、ビジネスパートナーに対して分散型サービス拒否攻撃が行われることになります。その後、数週間後に再び攻撃が行われ、被害者のファイルはすべて削除されます。
グループ名の Yanluowang は、中国の神話上の人物から着想を得ており、このグループが中国に由来している可能性を示唆しています。しかし、最近、このグループのチャットログが流出し、この組織の関係者がロシア語を話していることが明らかになりました。
Yanluowangのチャットログの流出について
10月31日、@yanluowangleaksというTwitterユーザーが、Yanluowangランサムウェア一味のマトリックスチャットとサーバーリークを、ビルダーと復号化ソースとともに公開しました。合計6つのファイルには、グループのメンバー間の内部の会話が含まれていました。これらのチャットの分析から、少なくとも18人がYanluowangの操作に関与していることが判明しました。
潜在的なメンバー:'@killanas', '@saint', '@stealer', '@djonny', '@calls', '@felix', '@win32', '@nets', '@seeyousoon', '@shoker', '@ddos', '@gykko', '@loader1', '@guki', '@shiwa', '@zztop', '@al', '@coder1'
最もアクティブなメンバー: ‘@saint’, ‘@killanas’, ‘@guki’, ‘@felix’, ‘@stealer’. aint'、'@killanas'、'@guki'、'@felix'、'@stealer'
分析したデータを最大限に活用するために、その結果を「戦術」と「組織」の2つのカテゴリーにまとめました。
戦術
流出したチャットログから、グループの運用セキュリティとTTPについて、いくつかの知見が得られました。第一に、メンバーは互いのオフラインでの身元を認識していませんでした。次に、金銭を移動する際のセキュリティ上の注意点について、メンバーの@killanasと@felixが議論していたことです。2人は、信頼できる通貨交換プラットフォームや、法執行機関にデータを漏えいすることが知られているプラットフォームは避けた方がよいというアドバイスを交換しました。また、大金を持っていることを知られないように、少額の現金を引き出す、QRコードで引き出すなどの対策も紹介されました。
また、チャットログからは、YanluowangのTTPが明らかになりました。同グループのメンバーである@stealer、@calls、@saintの間では、重要インフラに対する攻撃の可能性を探るやり取りが行われていました。また、メンバーの1人である@callは、Yanluowangが旧ソ連諸国の重要インフラをターゲットにしていないことをいち早く強調しています。また、チャットログでは、YanluowangがランサムウェアであるPayloadBINを使用していること、また、このランサムウェアを使用した攻撃は、別のランサムウェアであるEvil Corp.に誤って帰属させられる可能性があることも強調されています。
また、Yanluowangのソースコードは、以前XSS.isでダウンロード可能なファイルとして公開されていたことが明らかになり、さらに深い洞察を得ることができました。この件に関する会話から、@killanasと@saintの2人のメンバーは、@stealerがこのリークに関与しているのではないかと疑っていることがわかりました。この疑惑は、@saintが8年来の知り合いである別のメンバーを擁護することで支持されました。後に、このコードは中国人の購入依頼を受け、共有されたことが明らかになりました。また、@saintは、XSS.isからダウンロードリンクを削除させるために、個人的なコネクションを利用しました。これらのコネクションは、Yanluowangの一部のメンバーがランサムウェアやより広範なサイバー犯罪のコミュニティに深く入り込んでいることを示すものです。
また、流出したチャットログから得られたもう一つの知見は、@saintがYanluowangのウェブサイトの交渉ページでWe stand with Ukraine と述べ、ウクライナを支持する表現をしていることでした。この行動は、ロシアとウクライナの紛争に味方する脅威アクターの間で観察された同様の傾向を反映しています。
Yanluowangの他団体との関わりについては、元Contiメンバーが参加していたことが判明しています。この推測は、Conti のリークに関する会話で、現在Yanluowangのメンバーである@gukiがコンチのファイルから特定された可能性について@saintが行ったものです。また、Contiはかなりの数のメンバーを失い、彼らは新しい仕事を探しているとのコメントもありました。他のランサムウェアグループについては、@saintがREVILグループについて言及し、特に逮捕された5人のメンバーが元クラスメートであると述べました。彼はこの発言を裏付けるように、その記事を添付し、それに対して@djonnyは、それらは確かにREVILのメンバーであり、彼は情報源からそれを知っていると返信しています。
組織
チャットのログを調べたところ、グループの組織構造についていくつかの洞察を得ることができました。流出したファイルの1つでは、ユーザー@saintがグループの .onion ウェブサイトの要件を公開した人物であり、他のユーザーに完了すべきタスクを指示する様子も観察されています。このことから、@saintはグループのリーダーであると考えられます。また、ほとんどの参加者が20代であるのに対し、数名のユーザーは30代から40代であることを示す証拠もありました。
Yanluowangの組織構造に関する詳細は、リークを深読みしたものです。例では、Yanlouwangグループ内に様々なサブグループがあり、特定の人物が各グループをコーディネートしていることが示されています。ログから、@killanasが開発チームのリーダーであり、彼の下で複数の人が働いている可能性が高いです。また、@stealerは@killanasと同レベルで、グループ内の別のチームのスーパーバイザーである可能性もあります。このことは、@stealerが何度か特定のグループメンバーが不在であることに懸念を表明したことで裏付けられました。また、彼はグループのソースコードにアクセスできる3人のうちの1人であることを示す証拠もあります。
グループ内の役割分担も明確で、各ユーザーが特定のタスクを持っていました。DDoS(分散型サービス拒否)攻撃、ソーシャルエンジニアリング、被害者との交渉、ペンテスト、開発など、各ユーザーの仕事は多岐にわたります。新しいメンバー(主にペンテスター)を募集する場合、YanluowangはXSS.isとExploit.inのフォーラムを通じて募集していました。
アンダーグラウンドの解析とメンバーの特定
流出したチャットログから、いくつかの .onion URLが抽出されましたが、さらに調査したところ、各サイトはオフラインになり、TORハッシュリングから削除されていました。このことから、Yanluowangはすべての運営を停止した可能性があります。XSS.isのユーザーの一人は、Yanluowangのonionウェブサイトがハッキングされたことを示す画像を投稿し、CHECKMATE!! YANLUOWANG CHATS HACKED @YANLUOWANGLEAKS TIME’S UP!! と述べています。
YanluowangがロシアのWebフォーラムを使用していることを知った後、私たちは、グループと言及されたニックネームについて何か見つけることができるか、追加検索を行いました。
XSS.Isで検索することで、@yanluowangとして登録されているユーザーを特定することに成功しました。フォーラムに登録された日付は、2022年3月15日です。不思議なことに、解析時に、このユーザーがオンラインであることに気づきました。Yanluowang が投稿したメッセージは全部で 20 件あり、その中には、グループが新しいペンテスターを募集していることを示す出版物がいくつかありました。
メッセージを調べていると、@Sa1ntJohnと名乗る別のユーザーが投稿した反応に気づき、これがギャングのメンバーである@saintである可能性があることが判明しました。
さらに調べてみると、ユーザー@EkranoplanはYanluowangギャングの3人のメンバー候補に関する情報を含むウェブサイトdoxbin.comへの3つのリンクを公開していることが確認されました。@killanas/coder、@hardbass、および@Joe/Uncleです。プロフィール情報は、ユーザー@Xander2727によって公開されました。
この情報が正しければ、グループのメンバー2人は30代のロシア人で、もう1人は20代のウクライナ人です。このうち、@killanasはチャットログでも言及されており、Yanluowangグループのリード開発者であることが判明しており、チャットリークの解釈は高い信頼性を持っています。また、ログに記載されていない2名のメンバーは、Cracked Software/Malwareの提供者と英語の翻訳者/Victim Negotiatorという役割を担っています。
広範なランサムウェアを取り巻く状況への影響
このリークの潜在的な意味を結論付けるために、我々はこの調査を通じて収集した証拠を裏付け、逆張りの分析技術を採用しました。この問題に関する我々の主な判断、裏付けとなる証拠、そして我々の現在の分析的見解に従って確認された意味は、このリークの3つの主要な要素に分類することができます。
ランサムウェアの状況への影響
今回のYanluowangのチャットログの流出は、より広範なランサムウェアの状況に対していくつかの示唆を与えています。今回の流出は、3月のContiの流出と同様に、グループの内部構造をどれだけ暴露したかを考えると、当面のYanluowangの活動の終わりを告げるものになりました。このことは、さらなる悪影響を及ぼす可能性があります。YanluowangはContiほどランサムウェア市場で大きなシェアを占めてはいませんでしたが、彼らの失脚により、既存のグループがそのシェアを争う空白地帯が生まれることは間違いありません。後者は、彼らのソースコードとビルドツールが公開された結果です。
ソースコード
Yanluowangのソースコードの公開は、いくつかの結果をもたらします。受信者に悪意がない場合、今年初めにYanluowang用の復号化ツールが公開されたように、ランサムウェアのリバースエンジニアリングに役立つ可能性があります。また、ソースコードが公開されることで、今後、このランサムウェアが他の脅威アクターによって改作または修正されたバージョンで展開され、その範囲が拡大するというシナリオも考えられます。過去にBabukのソースコードが流出した際、この流出を元にRookやPandoraなどいくつかの亜種が開発されたように、流出したものを再利用することはランサムウェアの活動家の間では悪名高いことなのです。このため、攻撃を特定のグループに帰属させることが難しくなる可能性もあります。
Members
また、暴露されていないYanluowangのメンバーが他のランサムウェアギャングに移動することで、ランサムウェアグループの拡散にさらに拍車がかかる可能性があります。このようなランサムウェアの拡散形態は、過去に元Contiメンバーが初期アクセスブローカーであるUAC-0098と連携するために戦術を再利用した際に記録されています。しかし、このような主張をしているメンバーからの証拠がないため、さらなる調査・分析が必要です。しかし、証拠がないため、この推測は、他のランサムウェアギャングのメンバーから以前に観察された行動に基づいています。