✅ 報告書タイトル:

ランサムウェア「SugarLocker」＆運営者分析レポート

✅ レポートの要約：

ランサムウェア「SugarLocker」を運営するユーザー「gustavedore」は2021年11月からRaaS方式で活動を開始し、ランサムウェアを中心としたダークウェブフォーラム「RAMP」でパートナーを募集しています。

「RAMP」フォーラムに掲載したパートナー募集記事には、以下の内容を紹介しています。

• 現在のチームは主にネットとRDPを介して攻撃を試みる
• すぐに活動可能な人材のみ募集
• バルト三国とポーランドを除くあらゆるCIS諸国に対する攻撃を禁止
• 以下の収益シェア構造を主張
• 
  

- 最初：70％（パートナー）/30％（SugarLockerグループ）

- 5つの企業に対する攻撃成功時：75%/25%

- 1週間の収集20万ドル以上：80％/20％

- 1週間の収集100万ドル以上：85％/15％

- 1週間の収集500万ドル以上：90%/10%

ランサムウェア「SugarLocker」は、プログラミング言語「Delphi」で書かれており、以下の機能が存在します。

• 3 つの実行オプションをサポート
• Custom encoding 及び encryption アルゴリズムによるデータの難読化
• オプションによって異なる設定情報を持つRaaSの特徴
• 速度別に 3 つのファイルの暗号化アルゴリズムを提供 （SCOP、RC6、Salsa20）
• 2 つのファイルの暗号化キーの暗号化アルゴリズムを提供 （RSA、ElGamal）
• 外部URLからTorブラウザをダウンロードしてショートカットファイルの作成

運営者は少なくとも2021年初めから、ランサムウェア「SugarLocker」を開発してきたものと推定されます。

2021年下半期以降からランサムウェアを流布しているものと推定されますが、現在までにリークサイトの運営が確認されておらず、被害事例も公開されていない点からまだ活発に活動をしていない模様です。

ただし、ランサムウェアの機能が継続的に更新されている点や、既にパートナーに関する求人投稿を掲載した点、ファイルの暗号化が可能な点などからパートナーが見つかり次第、活動が可能であるため事前の対応が必要です。

✅ レポート詳細（英語）：https://medium.com/s2wblog/tracking-sugarlocker-ransomware-3a3492353c49