KELAサイバーインテリジェンスセンター
2023年7月6日、ランサムウエアグループ「Cyclops」が、新たなRaaSプログラム「Knight」を発表しました。Cyclopsのブログには「今週、新しい管理パネルとプログラムをリリースする」と記載されており、このメッセージは、同グループが使用しているランサムウエアの亜種とアフィリエイト用管理パネルが刷新されることを意味していると思われます。また最近同グループは、自らのRaaSプログラムを「アップグレードした」と発表し、新規のアフィリエイトを募集していました。CyclopsがRaaSを宣伝するスレッドの名称も、これまでの「Cyclops」から「Knight」に変更されています。
Cyclopsの代表者は2023年5月にサイバー犯罪フォーラムで活動をはじめ、当時はグループ名と同名のRaaSプログラム「Cyclops」を宣伝していました。さらに6月下旬にはブログも開設しており、現在このブログには6つの被害組織が掲載されています。Cyclopsは、自らのRaaSプログラムは「パートナーフレンドリー」であると主張し、アフィリエイトに「デポジット無し」と「デポジット有り」の参加方式を提供しています(前者の場合はCyclopsが被害組織との交渉を担当し、後者の場合はアフィリエイト自らが被害組織との交渉を行います)。
またCyclopsは、同グループがアフィリエイトに請求する手数料は「RaaSマーケットで最も廉価である」と説明していました。ただし、身代金が支払われた場合に同グループの取り分となる割合については明示していません。
Cyclopsが2023年5月16日~同月17日にかけて掲載した広告の内容からは、同グループのマルウエアがこれまで標的としていたWindowsに加え、EXSiやLinux、MacOSも標的にできるようアップデートされたことが判明しました。
また2023年5月、Cyclopsはスピアフィッシングを介してマルウエアを配信しようと企んでいることを明言し、その際、協力者には同マルウエアのカスタマイズバージョンを提供すると発言していました。これらの発言から、同グループが初期アクセスベクトルにスピアフィッシングを使用している可能性が考えられます。ただしこれに加え、サイバー犯罪フォーラムやマーケットで初期アクセスを購入している可能性も考えられます。
KELAは、ある企業の初期アクセスが何者かに買い取られた後、その企業がCyclopsのランサムウエア攻撃を受けた事例を確認しています。ここでその事例を取りあげてみましょう。2023年6月21日、オーストラリアに拠点を置くインターネットサービスプロバイダーのアクセスが1万5,000米ドルで売り出され、その後すぐ何者かに買い取られました。そしてそれから約1カ月後、Cyclopsのブログでこのインターネットサービスプロバイダーの名前が公開されました。同社のアクセスが売り出された時期と、アクセスを購入した人物がその後とるであろう行動を考慮すると、この時のアクセスがCyclopsのランサムウエア攻撃に使用されたという可能性が考えられます。
自組織を狙う脅威に関するアラートをリアルタイムで受信していただけます。 KELAのサイバー脅威インテリジェンスプラットフォームを無料でお試しください。