コンテンツにスキップするには Enter キーを押してください

RansomHubは4月1日にダーク化し、アフィリエイトはQilinに逃げ、DragonForceが支配を主張

投稿日 2025年5月1日

Image

サイバーセキュリティ研究者によると、RansomHubのオンラインインフラストラクチャが2025年4月1日以降「説明不能に」オフラインになったことが明らかになり、ランサムウェア・アズ・ア・サービス(RaaS)運営のアフィリエイト間で懸念が広がっています。

シンガポールのサイバーセキュリティ会社Group-IBは、これによりアフィリエイトがQilinに移行した可能性があると述べており、「DLS [データリークサイト]での開示が2月以降倍増している」としています。

RansomHubは2024年2月に初めて登場し、200以上の被害者からデータを盗んだと推定されています。これは、LockBitやBlackCatという2つの著名なRaaSグループに代わり、彼らのアフィリエイトを引き寄せることでリーダーとなり、Scattered SpiderEvil Corpを含むアフィリエイトに魅力的な支払い分配を提供しました。

「Knight(以前はCyclops)のウェブアプリケーションとランサムウェアのソースコードを取得した可能性がある後、RansomHubはその多プラットフォーム暗号化装置の動的な機能と積極的でアフィリエイトに優しいモデルによる多額の金銭的インセンティブを提供することで、ランサムウェアシーンで急速に台頭しました」とGroup-IBは報告しています。

RansomHubのランサムウェアは、Windows、Linux、FreeBSD、ESXi、x86、x64、ARMアーキテクチャで動作するように設計されており、独立国家共同体(CIS)、キューバ、北朝鮮、中国に所在する企業を攻撃しないようにしています。また、SMBおよびSFTPを介してローカルおよびリモートのファイルシステムを暗号化することもできます。

ウェブインターフェースを介してランサムウェアを設定するために使用されるアフィリエイトパネルには、アフィリエイトグループのメンバーがデバイス上で自分のアカウントを作成するオプションが与えられる専用の「メンバー」セクションがあります。

アフィリエイトには、少なくとも2024年6月から既知の脆弱なドライバーを使用してセキュリティソフトウェアを終了およびバイパスする「Killer」モジュールも提供されています(BYOVD)。ただし、このツールは高い検出率のために廃止されました。

eSentireおよびTrend Microによれば、サイバー攻撃は、WordPressサイトを侵害してRansomHubアフィリエイトに接続されたPythonベースのバックドアを展開するために、SocGholish(別名FakeUpdates)として知られるJavaScriptマルウェアを利用していることも観察されています。

「11月25日、グループの運営者はアフィリエイトパネルに新しいメモを発表し、政府機関に対する攻撃は厳しく禁じられていると発表しました」と同社は述べました。「したがって、すべてのアフィリエイトは、そのような行為を控えるよう招待されました。なぜなら、高リスクで利益のない『投資の回収』だからです。」

GuidePoint Securityによれば、RansomHubインフラストラクチャのダウンタイムの後の一連の出来事は「アフィリエイトの不安」を引き起こし、競合するRaaSグループのDragonForceがRAMPフォーラムでRansomHubが新しい「DragonForceランサムウェアカルテル」の下で「我々のインフラストラクチャに移行することを決定した」と主張しています。

注目すべきことに、BlackLockという別のRaaSアクターも、2025年3月末にデータリークサイトを破壊した後、DragonForceと協力を開始したと評価されています。

「RAMPフォーラムでのこれらの議論は、RansomHubアフィリエイトが現在直面している不確実な環境を浮き彫りにし、グループの状況や潜在的な『買収』の中での自分たちの状況について無知であるように見えます」とGuidePoint Securityは述べました

Image

「この不安定さがRansomHubの終わりの始まりを告げるかどうかはまだわかりませんが、アフィリエイトに安定性とセキュリティを約束して台頭したグループが、今やその両方でアフィリエイトを失敗または裏切った可能性があることに注目せざるを得ません。」

「カルテル」としてのDragonForceのリブランドを追跡しているSecureworks Counter Threat Unit(CTU)は、この取り組みがアフィリエイトを引き付け、アフィリエイトが自分の「ブランド」を作成できるようにすることで利益を増やすことを目的とした新しいビジネスモデルの一環であると述べました。

これは、コア開発者がダークウェブインフラストラクチャを設定し、サイバー犯罪地下からアフィリエイトを募集し、その後、初期アクセスブローカー(IAB)からターゲットネットワークへのアクセスを取得した後に攻撃を実行し、身代金の70%を受け取る従来のRaaSスキームとは異なります。

「このモデルでは、DragonForceはそのインフラストラクチャとツールを提供しますが、アフィリエイトにそのランサムウェアを展開することを要求しません」とSophos所有の会社は述べました。「広告された機能には、管理およびクライアントパネル、暗号化および身代金交渉ツール、ファイルストレージシステム、TORベースのリークサイトと.onionドメイン、サポートサービスが含まれます。」

PRODAFTはThe Hacker Newsに対し、RansomHubの運営が4月の初めに「多くのメンバーが離脱した」ために停滞したと述べ、RaaSシンジケートが閉鎖されるか、リブランドの準備をしている可能性があることを示唆しました。

「ほぼ同じ時期に、DragonForceはランサムウェアカルテルの形成を発表しました」と同社は述べました。「また、RansomHubに関連する一部の脅威アクターがすでに他のグループに参加していることもわかっています。たとえば、VanHelsingランサムウェアグループは元RansomHubアフィリエイトによって作成され、他の者は異なるランサムウェアバリアントを使用し始めています。最後に、RansomBayは現在DragonForceシステムで稼働しています。」

新しい戦術を採用した別のランサムウェアグループはAnubisで、2025年2月に登場し、被害者に盗まれたデータの分析を含む「調査記事」を公開すると脅して圧力をかけ、規制当局やコンプライアンス当局に事件を報告する「データランサム」強要のみのオプションを使用しています。

「ランサムウェアエコシステムが柔軟に適応し続ける中、さまざまな運営モデルを使った広範な実験が見られます」とSecureworks CTUの脅威インテリジェンスディレクターであるRafe Pillingは述べました。「LockBitはアフィリエイトスキームをマスターしましたが、彼らに対する執行措置の後、新しいスキームや方法が試されているのは驚くべきことではありません。」

この発展は、Python実行可能ファイルを使用してクリップボードの内容を盗むことができるMimicランサムウェアのバリアントである新しいランサムウェアファミリーELENOR-corpの出現と一致しており、医療機関を積極的にターゲットにしています。

「MimicランサムウェアのELENOR-corpバリアントは、以前のバージョンと比較して強化されており、洗練された反フォレンジック対策、プロセス改ざん、暗号化戦略を採用しています」とMorphisecの研究者Michael Gorelikは述べました

「この分析は、ランサムウェア攻撃の進化する洗練度を強調し、医療のような高リスク産業における積極的な防御、迅速なインシデント対応、強固な回復戦略の必要性を強調しています。」

AnubisとELENOR-corpは、脅威が小さなグループに分裂し、頻繁にリブランドして監視を回避し、運営の継続性を維持しようとしている兆候を示している中で、風景を活気づけた新しいランサムウェアアクターの一部です。「ステルスと柔軟性へのより広範なシフト」を反映しています –

  • CrazyHunter、台湾の医療、教育、産業部門をターゲットにし、オープンソースツールZammoCideを使用してセキュリティ対策を回避するためにBYOVD技術を使用
  • ElysiumGhost(別名Cring)ランサムウェアファミリーの新しいバリアントで、ハードコーディングされたサービスのリストを終了し、システムバックアップを無効にし、シャドウコピーを削除し、システム回復を困難にするためにブートステータスポリシーを変更
  • FOG、米国政府効率部(DOGE)の名前を悪用し、メールやフィッシング攻撃で政府の取り組みに関連する個人をターゲットにして、ランサムウェアを配信するマルウェアを含むZIPファイルを配布
  • Hellcatゼロデイ脆弱性を悪用し、Atlassian Jiraのような脆弱性を利用して初期アクセスを取得
  • Hunters International、World Leaksとして知られる恐喝専用の運営を開始するために独自のデータ流出プログラムを使用
  • Interlock、悪名高いClickFix戦略を利用して、ランサムウェアペイロードを展開する多段階攻撃チェーンを開始し、Interlock RATやLumma、BerserkStealerなどのスティーラーを併用
  • Qilin、ScreenConnect認証アラートを装ったフィッシングメールを使用して、AitMフィッシングキットを使用してマネージドサービスプロバイダー(MSP)を侵害し、その顧客にランサムウェア攻撃を仕掛ける(STAC4365というアフィリエイトに帰属)

Image

これらのキャンペーンは、ランサムウェアの絶え間ない進化を強調し、法執行の妨害やリークに直面しても脅威アクターが革新する能力を示しています。

実際、200,000件の内部Black Bastaチャットメッセージの新しい分析により、インシデント対応とセキュリティチームのフォーラム(FIRST)は、ランサムウェアグループがその運営をどのように行っているかを明らかにし、高度なソーシャルエンジニアリング技術とVPNの脆弱性を悪用しています。

「『Nur』として知られるメンバーは、攻撃を目指す組織内の重要なターゲットを特定する任務を負っています」とFIRSTは述べました。「彼らが影響力のある人物(例えば、マネージャーや人事担当者)を見つけると、電話で連絡を開始します。」

(このストーリーは、RansomHubの運営に関するPRODAFTが共有した追加の洞察を含めるために公開後に更新されました。)

Published in thehackernews.com

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です