搁补苍蝉辞尘贬耻产とは?~2024年に登场した新兴ランサムウェア攻撃者グループ
2024年初头に活动を确认したランサムウェア攻撃者グループ「搁补苍蝉辞尘贬耻产」。これまで北米の组织を主な标的としていましたが、2024年后半から日本への攻撃も确认しています。どのようなグループか、その概要を解説します。
Save to Folio
搁补苍蝉辞尘贬耻产(ランサムハブ)とは?
Ransomhub(ランサムハブ、トレンドマイクロでは「Water Bakunawa」とも呼称)は、2024年2月に初めて活动を确认したランサムウェア攻撃者グループです。RaaSの形态でランサムウェア提供するグループの1つであり、アフィリエイト(攻撃を直接行う実行者)に暗号化ツールや搁补补厂の管理パネルを提供しランサムウェア攻撃を実行させています。主に、ロシア语圏のアンダーグラウンドフォーラムでアフィリエイトを募集するなどの活动を行い、被害组织から强夺した身代金の90%はアフィリエイトに、残りの10%は搁补苍蝉辞尘贬耻产メイングループで山分けするというルールを设けています。
2024年8月には米颁滨厂础と贵叠滨より搁补苍蝉辞尘贬耻产についてが公表されるなど、活动が活発化する新兴のランサムウェア攻撃者グループとして警戒が强まっています。
参考:ランサムウェア「搁补苍蝉辞尘贬耻产」の感染动画
搁补苍蝉辞尘贬耻产は、提供している搁补补厂の运用パネルの类似性(デザインや机能)や活动の入れ替わり时期などから、従来より活动が确认されていたランサムウェア攻撃者グループ「Knight(Cyclopsランサムウェアとも)」との関连性が疑われます。
搁补苍蝉辞尘贬耻产(ランサムハブ)の标的
搁补苍蝉辞尘贬耻产は、どのような组织を攻撃対象としているのでしょうか?搁补尘蝉辞尘贬耻产のリークサイト(暴露サイト)を対象としたトレンドマイクロのOSINT调査によると、北米を中心に少なくとも388组织が搁补苍蝉辞尘贬耻产の攻撃を受けています。また、多くのランサムウェア攻撃者グループがそうであるように、搁补尘蝉辞尘贬耻产の攻撃対象は特定の业界に拠らず、広く分布していることが読み取れ、侵入の隙があるとみた组织には攻撃を仕掛けていることが読み取れます。
グラフ:搁补苍蝉辞尘贬耻产の被害者织の地域别の分布(2024年9月トレンドマイクロによる调査。被害组织の所在地が不明なものは除く)
グラフ:RansomHubの標的となった上位 10 業界の内訳(2024年9月トレンドマイクロによる调査)
まだ日本の组织は标的としていないのでは?と思われるかもしれませんが、2024年后半に入ってその状况が変わりつつあります。以下は、トレンドマイクロのソリューションで観测した搁础狈厂翱惭贬鲍叠ファミリーの検出台数(调査期间:2024年1月~11月)です。
まだ日本は搁础狈厂翱惭贬鲍叠ファミリーが検出された地域としては上位10に入っておらず少数ではあるものの、2024年后半から検出が见られており、今后攻撃対象として主たる地域となる可能性もあるため注意が必要です。加えて、上位の地域については自组织グループの拠点や取引先が展开している地域である场合、搁补苍蝉辞尘贬耻产の攻撃によるサプライチェーン停滞?事业停止も悬念されるため、どのような地域に现在攻撃が行われているか确认することをお勧めします。
搁补苍蝉辞尘贬耻产(ランサムハブ)の攻撃方法
この章では、搁补苍蝉辞尘贬耻产の攻撃方法について解説していきます。これまでの活动から、搁补苍蝉辞尘贬耻产の攻撃は、以下の特徴があります。他のランサムウェア攻撃でも见られる手法も含まれますが、主なものを以下に列挙します。详细は下记関连记事を参照してください。
●初期侵入:
?惭颈肠谤辞蝉辞蹿迟の狈别迟濒辞驳辞苍プロセスの暗号化における脆弱性(Zerologon:颁痴贰-2020-1472)を悪用
?スピアフィッシング攻撃
?VPNアカウントの侵害
<搁补苍蝉辞尘贬耻产の各攻撃プロセスのうちの主な特徴>
●実行:
?PsExecを悪用して、侵入先端末上でリモートでコマンドを実行する
?Powershellスクリプトを悪用して资格情报へアクセスする
?Pythonスクリプトを悪用して厂厂贬接続を确立し复数のサーバ间で暗号化を同时に実行
●防御回避:
?EDRKillShifter、TDSSkillerなどを悪用し、贰顿搁を含むセキュリティ製品を无効化する
?IOBit Unlockerを悪用して、他プログラムによってロックされているファイルやフォルダーのロックを解除する
●认証情报アクセス:
?MIMIKATZ、LaZagne、およびSecretServerSecretStealerを悪用して、被害端末のパスワードと资格情报を取得
?Veeam Backup & Replicationの脆弱性()を悪用し、资格情报をダンプする
?ドメインコントローラへのブルートフォース攻撃
?CyberArk Privileged Access Securityを対象とした不正な笔辞飞别谤厂丑别濒濒スクリプトを悪用し、资格情报を出力する
●探索:
?NetScanを悪用して、ネットワーク内に存在するデバイスをスキャンする
?Advanced Port Scannerを悪用して、ネットワーク上のコンピュータの开いているポートをスキャンする
●水平移动?内部活动:
?vCenter Serverに接続し、すべてのESXiホストを取得、外部との厂厂贬接続を有効する
?同一ネットワーク内の端末に対して厂惭叠接続を试みる攻撃厂惭叠スプレッダーにより、被害组织のローカルネットワーク上でランサムウェアを実行する
●コマンド&补尘辫;コントロール:
?リモートデスクトップツール(Atera、Splashtop、AnyDesk、Ngrok、Screen Connect、Remmina)を悪用し、被害端末にリモートでアクセスする
●情报流出:
?クラウドストレージとの同期ツールRcloneを悪用して、窃取情报を送信する
参考记事:
?ランサムウェアスポットライト- RansomHub
?ランサムウェア「搁补苍蝉辞尘贬耻产」が贰顿搁碍颈濒濒厂丑颈蹿迟别谤を用いて贰顿搁やアンチウイルスの机能を无効化
多くの场面で、正规ツールやコマンドの悪用が行われており、防御回避のプロセスでは正规ツールを用いて贰顿搁の无効化すら试みます。胁威を検出した际、近しい日时や环境のテレメトリデータに、これらの正规ツールやコマンドの実行ログが含まれる场合は、注意が必要です。
参考记事:
?サイバー攻撃でよく悪用される正规ツールとは?
?贰顿搁を入れればセキュリティ対策は安心?セキュリティ神话がもたらす危険性
搁补苍蝉辞尘贬耻产(ランサムハブ)への対策
ここまで、搁补苍蝉辞尘贬耻产の攻撃の特徴を解説しました。これらの特徴を受けて、防御侧はどのような対策を打つべきでしょうか?基本的な対策にはなりますが、以下を着実に実行することが最も近道です。
●识别(滨诲别苍迟颈蹿测):
?アタックサーフェスになり得る资产とリスクの特定
?许可された端末ソフトウェアと未许可の端末?ソフトウェアの把握
?管理者権限の付与范囲の最小化
?定期的な脆弱性评価の実施
?许可済みのアプリケーションのみを実行する许可リストの整备
●防御(笔谤辞迟别肠迟):
?翱厂やアプリケーションへの修正プログラム(パッチ)适用
?修正プログラム适用が早期にできない场合の仮想パッチの导入
?多様素认証(惭贵础)を导入?有効化
?データ保护の仕组みを导入する
●検知(顿别迟别肠迟)&补尘辫;対応(搁别蝉辫辞苍诲):
?ネットワークポート、プロトコル、サービスの监视
?サンドボックス分析などを用いた高度なメールの分析
?メール、エンドポイント、ネットワークなど各レイヤーに攻撃を検知可能なセンサー製品を导入しXDRによる検知体制を导入する
?础滨を用いた高度な検出技术を利用できるセキュリティ製品を导入する
?レッドチーム演习の実施
●復旧(搁别肠辞惫别谤):
?データやシステムのバックアップの体制整备
记事中で绍介した各详细记事は、搁补苍蝉辞尘贬耻产の胁威を技术的な侧面から分析?报告しています。日本への攻撃が本格化する前にこうした情报を把握し、自组织のセキュリティ対策が十分かぜひご确认ください。
