パロアルトのユニット42の研究者は、INCランサムウェア集団はもう存在せず、最近3か月かけてLynxとしてブランド名を変更したと考えている。
INC はランサムウェア市場のリーダーではありませんでしたが、2023 年 10 月に設立されて以来、英国のレスター市議会やスコットランド国民保健サービスなどに対する注目を集める攻撃で名を馳せています。
一方、Lynxは2024年7月に初めて発見され、Unit 42の研究者は、それ以来、検出されたLynxサンプルの数がINCサンプルの数を上回っていると指摘しています。
過去12ヶ月間のLynxとINCの両グループによるランサムウェアサンプル検出数を示すグラフ(Unit 42提供) – クリックして拡大
LynxがINCよりも多く検出されていた2ヶ月後、9月にはINCの検出数がゼロになりました。ただし、これだけではINCが完全に消滅したことを意味するわけではありません。例えば、1月、2月、5月にもINCの検出数は同数(ゼロ)でした。
しかし、コードの比較はリブランディングの疑いをより的確に裏付けることが多いため、今回のケースも同様です。両ランサムウェアグループのサンプルをBinDiffで実行したところ、共通関数が70.8%一致することが明らかになりました。
「共有機能のこの重大な重複は、Lynxランサムウェアの開発者がINCコードベースのかなりの部分を借用して再利用し、独自の悪意のあるソフトウェアを作成したことを強く示唆している」とUnit 42はブログで述べている。
異なるランサムウェアファミリー間でのコードの再利用は、サイバー犯罪者の間では一般的です。既存のコードを活用し、他のランサムウェアの成功例に基づいて構築することで、脅威アクターは独自の攻撃を開発するための時間とリソースを節約できます。これは最終的に、より成功率が高く、より広範囲に及ぶキャンペーンにつながる可能性があります。
研究者らはまた、INC のソースコードが今年 3 月からサイバー犯罪フォーラムで公開されていたことにも注目しており、理論上は誰でもあらゆる種類の INC のバージョンをリリースできる可能性があり、コード分析だけでも同様の結果が得られる可能性が高いとしている。
INC は今も被害者を投稿し続けている。同社のオンライン リーク サイトへの新しいエントリは 10 月 4 日というごく最近のものだったが、ざっと調べたところ、それは古い攻撃の再投稿ではなかったようだ。
両ブランドのリークサイトを比較すると、顕著な類似点が浮かび上がります。まず、INCとLynxはどちらも、明確なウェブプレゼンスを持つサイバー犯罪グループのごく一部に属しており、TORと通常のリークサイトを保有しています。
- 医療関連攻撃は米国以外にも広がっている ― インドのスターヘルスに聞いてみよう
- ランサムウェア集団「トリニティ」が医療業界を狙う悪党集団に加わる
- ランサムウェア集団が新たなMedusaLocker亜種で毎月100以上の組織を感染
- 欧州警察、休暇中にロックビット開発者とみられる4人を逮捕
次に明らかな類似点は、ウェブサイトのフォーマットです。通常、ランサムウェアグループはリークブログのデザインに大きく異なるアプローチを採用しています。あるグループのサイトがライバルグループのサイトと酷似していることは稀ですが、LynxとINCのサイトはほぼ同じレイアウトになっています。
INCとLynxのリークブログの比較 – クリックして拡大
左側のツールバー、ほぼ同じセクション名、クリア ウェブ上での存在、韻を踏むグループ名から、両方の操作の背後に同一人物がいるか、少なくともその印象を与えようとしている可能性が示唆されます。
Lynx のブログに掲載された声明では、病院、政府、その他の非営利団体などを「社会で重要な役割を果たしている」ためターゲットにすることは拒否すると述べられている。
NHSとレスター市議会への攻撃を考えると、INCの場合は確かにそうではありませんでした。もしかしたら彼らは心を入れ替えたのかもしれません。もしかしたら、彼らはただの犯罪者集団なのかもしれません。®
