2026年1月に出現した新たに活動するランサムウェア・アズ・ア・サービス（RaaS）ギャングが、立て続けに200人近くの被害者の名前と部分データを公開して物議を醸したが、ランサムウェアの専門家らは、犯罪行為だけが取り締まりの全てではない可能性があると述べている。

Halcyon Ransomware Research Center が入手したデータによると、2 月 5 日の時点で、被害者とされる者のほとんどは米国におり、次に英国、インドが続いています。

これほど多くの被害者が立て続けに公表されることは前例のないことではありません。2023 年の MOVEit イベント中に被害者を大量搾取したことで有名な CL0P 作戦は、大量に公表されることがよくありました。

しかし、数人の研究者による0APTの主張の徹底的な分析は、ギャングがほぼ確実にハッタリを行っていることを示しています。

Siderace Howler Sale チームのラーフル・ラメシュ氏とリーガン・ジャイポール氏は、0APT の被害者の主張の信頼性には重大な疑問があると述べた。

同氏は、「サポート対象のアーティファクトなしで、圧縮された時間枠で 200 人近くの被害者を主張することは、観察されたランサムウェア グループの動作と運用上矛盾しています」と説明しました。 「成熟したグループは通常、交渉での成果を確実にするために情報開示を遅らせ、合意の証拠を提供する。この場合、発表は急速で裏付けがないように見える。」

ラメシュ氏とジャイポール氏はまた、ギャングのサイトが流出したことで、盗んだと主張するデータの信頼性について懸念が生じていると述べた。同氏によると、流出したセクションではダウンロード可能なファイル ツリーが宣伝されているが、実際のファイルは予想よりもはるかに大きく、大規模なデータ盗難の印象を与えるように構造化されているようで、ダウンロードできるとしても、基本的には .zip アーカイブや .pdf ファイルに見せかけたランダムなジャンクで構成されているようだという。

彼らはまた、侵害されたデータのスクリーンショットがサイトに表示されていないことも観察しました。これは、アンダーグラウンドのランサムウェアではかなり標準的な慣行であり、これが 0APT の主張の信頼性をさらに弱めています。

しかし、ジャンクデータ以外にも、犠牲者の多くは存在すらしない可能性があることを示す信頼できる証拠がある。実際、GuidePoint Security の Research and Intelligence (GRIT) チームの Jason Baker が共有したスクリーンショットには、被害者の 1 人である Metropolis City Municipal が言及されており、0APT はそこから都市計画文書、ベンダーの支払い、内部メモを盗んだと主張しています。

イリノイ州南部にある真の大都市ではありますが、人口わずか 7,000 人の小さな町であり、ランサムウェア攻撃の影響を受けた形跡はありません。 0APT によるこの名前の使用は、ほぼ間違いなく DC コミックスのスーパーマン シリーズへの言及であり、その後この名前はリーク サイトから削除されました。

GRITによると、この組織が主張する実体の中には、ドイツのBASF、台湾のフォックスコン、英国のグラクソ・スミスクライン、日本の日立、韓国の現代重工業、フランスのトータルエナジーなどが含まれるという。しかし、ベイカー氏は、被害者とされる人々が、侵入は受けておらず、身代金要求書も受け取っておらず、サイバー犯罪者と直接通信したこともないと述べた少なくとも2件の事件を知っていると述べた。

Baker氏は、「0APTが主張する被害者は、完全に捏造された一般的な企業名と、脅威アクターが侵害していない認識可能な組織の混合である。GRITは、これらの被害者が、直接の報告を含め、0APTに関連する何らかの脅威アクターの影響を受けたという証拠を確認していない」と書いた。

「0APTは、疑いを持たない被害者の恐喝を支援したり、他のグループの歴史的被害者を取り戻したり、潜在的な同盟者を欺いたり、新しいRaaSグループへの関心を得るために、この欺瞞的な方法で活動している可能性が高い。」