TokyoBlackHatNews

csoonline.com 5分で読了

ジェントルメンがあなたのファイル、そしてネットワークを狙っている

マイクロソフトによるジェントルメンランサムウェアの分析により、ネットワーク全体に拡散可能なGo言語ベースの暗号化ツールが明らかになった。これにより攻撃者は最初に侵害したシステムを超えて攻撃を拡大できる。

ランサムウェアの攻撃者たちは、ファイルのロック技術を長年にわたって洗練させてきた。そして今、一部の攻撃者はそのロッカーをあらゆる到達可能なシステムに先んじて展開しようと、より一層の努力を重ねている。

マイクロソフトが最近公開したジェントルメンランサムウェアへの警告では、その攻撃者が自己拡散型のGo言語ベース暗号化ツールを使用し、侵害された環境内を横断的に移動して追加のシステムに自身を展開する能力を持つことが明らかにされた。

「現代のランサムウェアはもはやファイルの暗号化だけにとどまらない」と、AttackIQの敵対者リサーチ担当バイスプレジデントであるポール・リード氏は述べた。「より大きなリスクは、侵害された1台のマシンがいかに迅速に事業全体の混乱へと発展しうるか、という点だ。」

マイクロソフトはその活動の技術的な分析において、ジェントルメンランサムウェアが2025年半ばに初めて観測され、2026年も引き続き高い活動性を維持していると述べた。北米、南米、ヨーロッパ、アフリカ、アジアにわたる教育、輸送、医療、金融業界の組織に影響を与えている。

ジェントルメンは当初「クローズドランサムウェア」として始まり、2025年9月にはRaaS(Ransomware-as-a-Service)として提供されるようになり、最終的にはBreachForumsと提携して、ペネトレーションテスターや初期アクセスブローカーを含むアフィリエイトをこの人気サイバー犯罪マーケットプレイスから獲得するに至った。

暗号化の前に動き回るよう設計されている

マイクロソフトの分析は特に、オペレーターの手動介入に完全に依存することなくネットワーク全体に拡散するランサムウェアの能力に焦点を当てている。

Go言語で書かれたこの暗号化ツールは、追加のシステムを特定し、収集した認証情報を使って認証し、SMB(Server Message Block)経由でリモートマシンに自身をコピーする機能を備えている。展開されると、リモートから実行して拡散し続け、侵害された環境内でチェーン感染を引き起こすことができる。

マイクロソフトによると、このマルウェアは正規の管理ツールとWindowsの機能を活用して横方向への移動を促進しつつ、攻撃者が操作全体を通じて積極的に関与し続ける必要性を低減している。

「ランサムウェアのオペレーターはコマンドライン引数を通じてジェントルメン暗号化ツールを制御できる」とマイクロソフトは述べた。「実行にはパスワードが必要であり、オプションの引数によってオペレーターは暗号化の範囲、速度、横方向への移動、暗号化後の動作を指定できる。」

コマンドライン引数の一つである「–full」は、マシンが侵害された後の暗号化範囲を最大化するため、SYSTEM権限でローカルドライブを暗号化し、ユーザーから見えるネットワーク共有を暗号化する別プロセスを起動する。さらに、「–spread」コマンドは横方向への拡散に使用される。

「防御側はジェントルメンを単なるパッチ適用や検出の問題としてではなく、攻撃経路の問題として扱うべきだ」とリード氏は述べた。「優先すべきは、ランサムウェアがどこへ移動できるか、どの制御がそれを検出・封じ込め・妨害できるか、そしてインシデントが発生する前にどこにギャップが存在するかを把握することだ。」

ジェントルメンはアフィリエイトによるRaaSの使用を検証するための「パスワードチェック」を実行し、不要なバイナリ回収や傍受からの使用をブロックする。「主要な機能を実行する前に、マルウェアはバイナリ内に埋め込まれたハードコードされた値に対して–password引数を検証する」とマイクロソフトは指摘した。「このブログで分析されたサンプルでは、期待されるパスワードは『9VoAvR7G』だ。」

検出の機会は縮まっている

マイクロソフトの分析は、自己拡散型ランサムウェアがもたらす防御上の課題を浮き彫りにしている。実行が開始されると、マルウェアが追加のシステムへ拡散するにつれて、悪意ある活動を検出・調査・封じ込めるために利用可能な時間は大幅に縮まる可能性がある。

「ヘルプデスクへのチケットや画面のロックを見て何かがおかしいと気づくまで待てるような脅威ではない」と、Corsica TechnologiesのテクノロジーシニアディレクターであるJohn Joyner氏は述べた。「マルウェアは足がかりを得ると、ネットワーク内を迅速に移動できる。そのため早期検出こそが、封じ込められたインシデントと事業全体の混乱との分かれ目となる。」

マイクロソフトは、暗号化イベントだけに注目するのではなく、横方向への移動、認証情報の悪用、リモート実行の試みなど、ジェントルメンの拡散に関連する動作を監視することの重要性を強調した。

また、検出活動を支援するための侵害の痕跡(IOC)リストも公開した。間に合わなかった被害者に対しては、ランサムウェアがメモを残している。被害者のマシンのデスクトップ壁紙には「あなたのネットワークはジェントルメンによってロックされました」と表示される。

翻訳元: https://www.csoonline.com/article/4178580/the-gentlemen-are-coming-for-your-files-and-then-your-network.html

ソース: csoonline.com
#BreachForums #Go言語 #RaaS #SMB #サイバーセキュリティ #ジェントルメン #マイクロソフト #ランサムウェア #横方向への移動 #自己拡散型マルウェア

関連記事

2年前のOracle WebLogic Server脆弱性が悪用される

HP Poly VoIP脆弱性が幹部音声ディープフェイクへの道を開く

トランプ大統領、撤回したAI大統領令の一部をサイバーセキュリティ重視の指令として復活