DoNexはランサムウェアを展開する脅威アクターです。
犯罪捜査活動などの関係でランサムウェアグループはブランドを変更して活動を継続する動きが何度も見られますが、このDoNexもそういった経緯のあるグループです。
MuseがDarkRaceとなり、DarkRaceがDoNexとなりました。
このDoNexの使用するランサムウェアツールの脆弱性が確認されています。
- 範囲
確認されている脆弱性は、DoNexの使用するすべてのバージョンのランサムウェアが範囲です。 - ランサムウェアの脆弱性
詳細は明らかになっていませんが、DoNexランサムウェアには脆弱性があります。
このため、計算処理を行うことで暗号化に使用されたパスワードを算出することができます。
そして暗号化に使用されたパスワードがわかると、DoNexによって暗号化されたファイルの復元ができます。
身代金を支払っても復元できるかは定かでないわけですが、パスワードを算出して復元する場合には身代金は必要ありません。 - 復号化ツールの配布
実はDoNex用の復号化ツールは以前からAvastが被害者に提供していたものでした。
これまでも被害者を救ってきていたツールなのでした。
しかし、このDoNexの脆弱性がRecon2024サイバーセキュリティカンファレンスで公表されたため、これ以上秘密にする必要がなくなったということで復号化ツールも公開されるに至ったようです。 - 復号化ツールのパスワード算出
復号化ツールでの復号化に際し、復号化ツールは環境で利用されているパスワードを算出する動作を行います。
この動作の入力として、暗号化されたファイルと暗号化されていない元のファイルの入力を求められます。
これは被害端末から採取したファイルと、バックアップから相当するファイルを取り出して使用するようなことになるのでしょう。
そしてこのペアを復号化ツールに入力すると、わずか1秒程度でパスワードが算出できるということです。
この処理には大きなメモリが必要ということではあるようですが、すごいことです。
高機能なソフトウェアは利便性が高いものといえますが、機能の豊富さとは関係なく、安全な設計と実装は常に重要です。
ソフトウェアの現場に関わる人間として、セキュアコーディングを再度意識していこうと感じました。
Decrypted: DoNex Ransomware and its Predecessors
https://decoded.avast.io/threatresearch/decrypted-donex-ransomware-and-its-predecessors/
| この記事をシェア |
|
|---|
