ランサムウェアのブランド変更：新しい名前、変わらぬ侵害

何が起こったのか

ランサムウェアシンジケートは、以前とは異なる名称で知られていましたが、運用上の俊敏性を示す憂慮すべき形でブランド変更イニシアチブを開始し、即座に影響を与えました。新しいIDでの公開運用開始から最初の7日間で、このグループは専用のダークネットリークサイトを立ち上げました。このプラットフォームは、3つの異なるFortune 500組織を迅速に掲載し、侵害の証拠として流出したデータを公開しました。

最初のデータダンプは、主要なQSR、大手自動車部品サプライヤー、およびグローバルな物流会社を特に標的とし、主に機密性の高い契約文書で構成されていました。これには、ベンダー契約、関連条件付きの顧客リスト、および内部財務予測が含まれていました。迅速な公開は、侵入とデータ流出の両方におけるグループの自信と能力を強調しました。

ブランド名を変更したエンティティによって実行された、このような高プロファイルの侵害の急速な連続は、戦略的な転換を示唆しています。これは、過去の負債を捨て、法執行機関の監視を回避し、サイバー犯罪エコシステム内での市場プレゼンスを再確立しようとする意図的な試みを示しています。複数の大企業を即座に標的としたことは、既存のアクセスまたは非常に効率的な初期アクセスブローカー（IAB）ネットワークを示唆しています。

このパターンが繰り返される理由

このようなランサムウェア攻撃が継続的に成功しているのは、主に一般的なセキュリティの脆弱性の継続的な悪用と、脅威アクターの適応性という複数の要因に起因しています。組織は、包括的な資産の可視性、パッチ管理の規律、および堅牢なIDおよびアクセス制御に苦慮することがよくあります。これらの基本的なギャップが、初期侵害の肥沃な土壌を提供します。

ブランド名を変更したグループを含む脅威アクターは、既知の脆弱性や設定ミスを悪用することに長けています。彼らはTTPを継続的に改良し、単純な暗号化を超えて二重恐喝を採用することで、被害者への圧力を大幅に高めています。金銭的なインセンティブは依然として非常に大きく、新しいツールや攻撃手法への継続的な投資を促進しています。

ブランド変更現象自体が戦術的な操作です。これにより、グループは以前の制裁、公的な帰属、または侵害されたインフラストラクチャから距離を置くことができます。新しいIDは、犯罪の裏社会での募集、交渉、広報活動のためのクリーンな状態を提供し、多くの場合、更新されたマルウェア株や強化された運用セキュリティプラクティスを伴います。

攻撃者のプレイブック：ステップバイステップ

初期アクセス

このグループは、おそらく複数の方法を組み合わせて初期アクセスを獲得したと考えられます。フィッシングキャンペーン、特に標的型スピアフィッシングは、マルウェアや資格情報収集リンクを配信する主要なベクトルとして残っています。パッチが適用されていない公開アプリケーション、特に一般的なVPNソリューションやWebサーバー（例：Fortinet、Apache Struts）に見られるような既知のCVEを持つアプリケーションの悪用は、もう1つの一般的な侵入経路です。IABから購入した侵害されたRDP資格情報の使用も、迅速な侵入を促進します。

足場固めと偵察

侵入後、攻撃者は通常、スケジュールされたタスク、変更されたスタートアップ項目、またはTeamViewerやAnyDeskなどの正当なリモートアクセスツールを介して永続性を確立します。その後、広範な内部偵察を実行し、ネットワークトポロジをマッピングし、重要な資産を特定し、機密データストアを特定します。BloodHoundやAdFindなどのツールは、Active Directoryの列挙によく使用されます。

内部移動と特権昇格

発見された資格情報、設定ミス、またはパッチが適用されていないシステムを悪用して、攻撃者はネットワーク全体を横断的に移動します。手法には、Pass-the-Hash、Pass-the-Ticket、およびWindowsサービスの悪用が含まれます。特権昇格は重要なステップであり、Kerberoastingなどの手法やWindows OSコンポーネントの脆弱性を悪用して、ドメイン管理者アカウントを標的にすることがよくあります。

データ流出

ランサムウェアを展開する前に、グループはデータ流出に焦点を当てます。彼らは価値の高い知的財産、財務記録、人事データ、顧客情報を特定します。データは通常、内部サーバーにステージングされ、圧縮され、その後、暗号化されたチャネルを介してクラウドストレージまたは攻撃者によって制御されるインフラストラクチャに流出します。多くの場合、一般的なポートまたは正当なWebサービスを介して従来の egress filtering をバイパスします。

暗号化と恐喝

最後に、ランサムウェアのペイロードが重要なシステム全体に展開され、ファイルを暗号化してアクセス不能にします。同時に、リークサイトは流出の証拠と侵害の公的な発表で更新されます。データ公開の脅威と暗号化を組み合わせた二重恐喝メカニズムは、身代金を支払うよう被害者への圧力を最大化します。

防御側が見落としたこと

これらの特定の事件では、いくつかの一般的な防御上の欠点が明らかになっています。迅速な初期侵害は、インターネットに接続されたシステムのタイムリーなパッチ適用や高度なフィッシング攻撃に対する堅牢な保護など、基本的なセキュリティ衛生の失敗を示唆しています。最新のEDRソリューションを使用しても、プロアクティブな脅威ハンティングの欠如や誤った検出ルールにより、攻撃者が長期間検出されずに活動することを許してしまう可能性があります。

「ブランド変更は単なる見せかけに過ぎません。中核となる脆弱性は同じままであり、私たちの敵は人間と技術の死角を悪用することに長けています。」

大量の契約データを流出させる能力は、効果的なデータ損失防止（DLP）制御の欠如、または異常なアウトバウンドネットワークトラフィックを適切に監視できなかったことを示唆しています。さらに、事前の組織的認識なしに公開リークサイトが稼働したことは、特にダークウェブ活動とリークサイト追跡に関する外部脅威インテリジェンス監視のギャップを示しています。

多くの組織は、レガシーシステムや複雑なネットワークセグメントに関して、「壊れていなければ直す必要はない」という考え方で依然として運営しています。これにより、脅威アクターが専門的に特定して悪用する可能性のある、盲点や管理されていない攻撃対象領域が作成され、多くの場合、より現代的なインフラストラクチャ向けに設計された防御をバイパスします。流出されたデータの量が膨大であることは、偵察および水平移動フェーズでの検出の失敗を示唆する、長期にわたる滞留時間の可能性を示しています。

実用的な防御チェックリスト

• パッチ管理の優先順位付け: すべてのインターネットに接続されたアプリケーション、オペレーティングシステム、およびネットワークデバイスに対して、積極的なパッチ適用スケジュールを実装します。緊急度および重要度の高いCVEに直ちに対応します。
• IDおよびアクセス管理の強化: すべてのリモートアクセス、管理者アカウント、および重要なビジネスアプリケーション全体で多要素認証（MFA）を強制します。最小権限の原則を厳格に実装します。
• エンドポイント検出および応答（EDR）の強化: EDRソリューションが完全に展開され、最大の可視性のために構成され、積極的に監視されていることを確認します。EDRアラートを集中型SIEMと統合して、相関関係と迅速な対応を実現します。
• ネットワークのセグメント化とゼロトラストの実装: マイクロセグメンテーションを介して、重要な資産と機密データストアを分離します。ゼロトラストアーキテクチャを採用し、場所に関係なく、アクセスを許可する前にすべてのユーザーとデバイスを検証します。
• 堅牢なデータ損失防止（DLP）の実装: DLPソリューションを展開して、機密データの不正な流出を監視および防止します。外部宛先への異常なデータ転送に対してアラートを構成します。
• 定期的な侵入テストとレッドチーミングの実施: 高度な持続的脅威の現実的なシミュレーションのためにサードパーティを雇います。表面的な脆弱性だけでなく、重要なデータへの悪用可能な経路の特定に焦点を当てます。
• 外部脅威インテリジェンスへの投資: ダークウェブフォーラム、リークサイト、ランサムウェアグループの活動を継続的に監視し、組織、その子会社、または主要な人員に関する言及を探します。このプロアクティブなインテリジェンスは、差し迫った攻撃や流出の早期警告を提供できます。

現代の攻撃的テストがこれをどのように捕らえたか

現代の攻撃的セキュリティテスト、特に継続的なパープルチーミングと高度なレッドチームエンゲージメントの形で行われるものは、重要な利点を提供します。定期的な脆弱性スキャンのみに依存するのではなく、これらのアプローチは、キルチェーン全体にわたる現実世界の攻撃者TTPをシミュレートします。これには、高度なフィッシングによる初期アクセス試行、ゼロデイまたはNデイの脆弱性の悪用、盗まれた資格情報による水平移動の実行、およびデータ流出の試行が含まれます。

このようなテストは、初期侵害を可能にした特定のベクトルと設定ミスを体系的に特定し、水平移動経路を検出し、流出チャネルを確認したでしょう。堅牢なプログラムには、外部攻撃対象領域、主要な組織資産に言及するダークウェブでの議論、および既知の脅威グループの進化するTTPの継続的な監視も含まれます。これにより、防御側が最も関連性の高い現在の脅威に対して態勢を積極的に強化できるインテリジェンスが提供されます。

次に注目すべきこと

ランサムウェアグループがブランド名を変更し、直ちに攻撃的な活動を再開するという傾向は続く可能性が高いです。CISOは、サプライチェーン攻撃への注目が高まり、信頼できるベンダー関係を利用してより大きなターゲットへの初期アクセスを獲得することを予期すべきです。また、データ流出技術のさらなる洗練も予想され、従来の防御をバイパスするために、より回避的なチャネルや正当なクラウドサービスが利用される可能性があります。

高度な特権を持つ個人をターゲットにした、より洗練されたソーシャルエンジニアリングキャンペーンが予想され、リアルさを高めるためにAI生成コンテンツが利用されるでしょう。さらに、ランサムウェアとクリプトジャッキングや国家支援の諜報活動などの他のサイバー犯罪活動との融合は、帰属を曖昧にし、インシデント対応を複雑にする可能性があります。回復力と迅速な復旧に焦点を当てた、プロアクティブでインテリジェンス主導の防御は、これらの進化する脅威を軽減するために不可欠となるでしょう。