出典:Antoni Bastien(Alamy Stock Photo経由)
新たなランサムウェアギャングが混乱を引き起こす一方で、別のギャングが摘発されました。
Cisco Talosの研究者は7月24日、Chaosという新しいランサムウェア・アズ・ア・サービス(RaaS)グループについて詳述しました。このグループは「ビッグゲームハンティング」と二重脅迫攻撃(被害者のファイルを暗号化し、さらにデータを盗み流出をほのめかす)を専門としています。Cisco Talosによると、このグループは2月初旬に出現し、ランサムウェアの暗号化手法、身代金要求メモの構造、攻撃に使用されるツールセットの類似性から、元BlackSuitランサムウェアギャングのメンバーで構成されているとみられています。
もしそれが事実であれば、このグループの系譜はさらに数年前に遡ります。BlackSuitはかなり多くの被害者を出したギャングで、2023年に登場しました。これはRoyalランサムウェアから派生したもので、Royal自体も元Contiメンバーで構成されていると疑われていました。
これは、ランサムウェアの状況が常に変化していることを反映しています。ギャングのメンバーは複数のグループに所属することができ、あるグループのインフラが摘発されても、新しいサーバーやダークウェブのリークサイトを備えたリブランド版がすぐに現れます。
BlackSuitもその道をたどる可能性があります。先週末、ギャングのダークウェブドメインが法執行機関によって押収されました。現在、そのリークサイトには、米国国土安全保障省が「オペレーション・チェックメイト」と呼ばれる国際的な合同捜査の一環としてサイトを押収したという通知が表示されています。通知にはウクライナ、ドイツ、英国などの法執行機関のロゴも掲載されていました。
少なくともこの記事執筆時点では、Chaosは同様の妨害を受けていません。そのデータリークサイトは依然としてオンラインのままです。
Chaosの仕組み
Chaosランサムウェアは、Cisco Talosの研究者によると、主に米国を中心に、英国、ニュージーランド、インドなど幅広い被害者に影響を与えています。このグループはロシア語のサイバー犯罪フォーラム「RAMP」で積極的にランサムウェアをアフィリエイト候補者に宣伝し、クロスプラットフォーム対応をアピールしています。
「彼らは新しいChaosランサムウェアソフトウェアがWindows、ESXi、Linux、NASシステムに対応しており、個別のファイル暗号化キー、高速な暗号化速度、ネットワークリソースのスキャンなどの機能を備えていること、そして高速暗号化と強固なセキュリティ対策を強調しています」とCisco Talosのブログ著者であるAnna Bennett氏、James Nutland氏、Chetan Raghuprasad氏は記しています。「さらに、ターゲットやコミュニケーションを管理するための自動化パネルも提供しており、これは有料の参加費が必要ですが、最初の支払いが発生した場合は返金されます。」
研究者によると、ギャングのダークウェブフォーラム投稿では、BRICS加盟国やCIS(独立国家共同体)諸国、病院、政府機関とは協力しないと述べられています。
グループが被害者の環境に侵入すると、ファイルを「.chaos」拡張子で暗号化し、Chaosをペネトレーションテスト企業のように装う身代金要求メモを追加します。脅迫金(Chaosは「平和的解決」と呼ぶ)と引き換えに、盗んだデータの削除と詳細なセキュリティレポートの提供を約束します。支払いが行われない場合、Chaosは被害者のランサムウェア復号ツールの削除、DDoS攻撃の実施、競合他社や顧客への情報漏洩の通告を行うと脅迫します。Cisco Talosが示した一例では、初回の身代金要求額は30万ドルでした。
ブログ記事では典型的な攻撃経路も説明されています。Chaosの攻撃者はリモートアクセスツールを使ってソーシャルエンジニアリングで被害者の環境に侵入し、複数の探索コマンドを実行、悪意のあるコードを実行し、コマンド&コントロールサーバーに接続、リモート監視ツールで持続性を維持し、特権昇格や横展開のための認証情報にアクセスします。最大限のアクセス権を得た後、被害者データを流出させ、環境内のファイルを暗号化します。
Chaosランサムウェアは、「マルチスレッドによる高速選択的暗号化」や、デバッグ、サンドボックス、仮想マシン環境の検出などの解析回避技術など、検知を回避する複数の手法を備えています。
ブログ記事には、侵害の痕跡(IoC)やさらなる技術的詳細も含まれています。
防御側は何ができるか?
Chaosの戦術・技術・手順には特徴的な要素もありますが、典型的な攻撃では、ギャングはフィッシングやビッシングなどのソーシャルエンジニアリング手法で初期アクセスを獲得する点に注意が必要です。
そのため、一般的なセキュリティ衛生のベストプラクティスが重要です。IT部門の誰かから多要素認証(MFA)やVPNなどに関連する機密情報を求められた場合は、別の連絡手段(できれば対面)でその依頼を確認しましょう。不審なメールや、ログインを求めるメールを受け取った場合は、送信元のメールアドレスを必ず確認してください。そして常に、リモートアクセスを許可する際は慎重に。FIDOキーなどのフィッシング耐性認証も、組織によっては有効かもしれません。
Dark Readingは、Chaosの活動に関する追加情報を得るためにCisco Talosに問い合わせました。