NotPetya続報(作者が動きを見せる/当局がM.E.Doc機材を押収)
作者メッセージが登場
「NotPetya作成グループ、全ビットコインを移動し、ダークウェブ上で取引を提案」
NotPetyaの「身代金」振込先ビットコイン口座で、数回の移動があり、口座の全コイン(1万ドル強に相当)は他に移動しました。ロンダリングサービスに流す可能性が推測されています。
また、ダークウェブ上のPasteBinとDeepPostの2箇所でメッセージを発表しました。
「100BTCでマスタープライベートキーを売ってやる」
これを裏付けるように、Motherboardからの、NotPetyaに暗号化されたファイルを復元しました。
「NotPetyaランサムウェアに関わるハッカー、我々のファイルを復元」
このことから、NotPetyaは(以前にカスペルスキーの研究者が指摘したように)でたらめなIDを示していても、内部的には復号が可能な設計になっていることが推測されます。ただし、身代金を(初期に)支払ったとして復号可能になる可能性は少ないと思いますが。
なお、誰かが100BTCを支払うかは大いに疑問と元記事では述べています。
ウクライナ当局、M.E.Docのサーバを押収
「M.E.Docはサーバを2013年以来更新せず、3回バックドアを設置されていた」
見出しの通りですが、ウクライナ当局がM.E.Docのサーバを押収しました。実はNotPetya等に続く攻撃も予定されていたらしいのですが、この押収などもあって今回は防がれた、とウクライナ当局では発表しています。
また、CiscoやESETの調査により、M.E.Docサーバへのバックドア設置は4/14, 5,15, 6.22の3回に分割して行われたことも明らかになりました。1回目やテスト、2回目がXDataランサムウェアの配布、3回目がNotPetyaというわけです。
さらに、バックドア設置の際にM.E.Docの会計ソフトそれぞれのユニークなIDを収集する仕掛けも設置されたそうです。これにより利用企業の状況もつぶさに分かるというわけです。まさに1粒で何回もおいしいやり方です。
M.E.Docの会計ソフトは非常に重要な位置を占めているらしく、現在、ウクライナの多数の企業が古いバージョンのM.E.DocのソフトをGoogleドライブなどで共有して使っているそうです(サーバがないと動かないタイプ?)。これもまた結構危険な状況ですね…。
オリジナルのPetya作者がマスターキーを公開、NotPetyaには無力
「オリジナルPetyaランサムウェアの作者、マスター復号キーを公開」
これはPetyaシリーズ(MischaやGoldenEyeを含む)の全てに有効です。MalwarebytesやKasperskyで真正性が確認されました。
これらが活動していた時期は古く、そのときに暗号化されたデータを今もそのまま残しているケースは少ないため、あまり有効ではないだろうとみられています。
なお、言うまでもないことですが、このキーはNotPetyaによる暗号化には無力です。