2026年5月、「The Gentlemen」と呼ばれるロシア語圏のランサムウェアグループが流出させた大量のデータが表面化し、今年2番目に活発な脅威グループの内部実態が明らかになりました。流出した3,366件のRocket.Chatメッセージが示したのは、驚くべき事実です。ランサムウェア事業者は決して引退せず、ブランドを変えて活動を続けているのです。
この流出データを2022年のContiダンプ、2025年のBlack Basta、そして2025年のLockBitの事例と照合すると、サイバー犯罪活動の継続性が浮き彫りになります。
たとえば、「Tinker」というハンドルネームを持つ交渉担当者は、Conti時代から複数のグループをまたいで活動を続けています。顔ぶれは変わらないまま、ツールセットは進化を遂げています。一方で、彼らが悪用するエンタープライズのセキュリティ上の隙は、頑固なほど変わっていません。
過去4年間で、ランサムウェアグループの組織形態は、集中管理型の中規模組織から、複数のタイムゾーンをまたいで連携する分散型のフランチャイズ式グループへと変化しました。
こうした構造的な変化と並行して、技術的な能力も大きく向上しています。人工知能(AI)は理論的な概念から、実際の攻撃に欠かせない手段へと変貌を遂げました。
脅威アクターは現在、ChatGPTやClaudeといったモデルを積極的に活用し、被害者との交渉の自動化、フィッシングの口実となるメッセージの作成、コードの翻訳などを行っています。
The Gentlemensは、Hugging Face上でホストされた検閲なしのAIモデルを使って、窃取したエンタープライズデータを迅速にトリアージする手法まで議論していました。
一方で、Cobalt Strikeのような既製ツールへの依存は薄れつつあります。攻撃者がエンドポイント検出・対応(EDR)ソリューションをかわすことを優先しているためです。
脅威アクターは現在、独自開発のコマンド&コントロール(C2)フレームワークを展開しています。Black BastaはBreakerと呼ばれるカスタムツールを利用しています。
The Gentlemensは、ビーコンごとのSOCKS5トンネリング機能を持つ、これまで文書化されていなかったG-BOTというフレームワークを使用しています。
攻撃者はAPIのアンフッキングやイベントトレースのパッチ適用によってEDRを積極的に無効化しており、検知エージェントだけではもはや十分な防御手段にならないことを証明しています。
攻撃者はハイパーバイザーレベルにも照準を移しています。Hyper-V Volume ManagerやESXiを直接標的にすることで、ゲストOSの下位レベルで環境を暗号化します。
被害がすでに発生した後まで、ゲストマシン上では何も観測可能な変化が起きないため、標準的なエンドポイント監視やバックアップエージェントはこの攻撃をまったく検知できません。
高度なC2フレームワークが展開される一方で、初期アクセスは依然として既知のパッチ未適用脆弱性に大きく依存しています。エッジのアイデンティティ管理は、依然として最大の攻撃経路であり続けています。
The GentlemensはFortinetのエッジアプライアンスを頻繁に悪用しており、特にFortiOS認証バイパス脆弱性(CVE-2024-55591)を利用しています。
脅威アクターはこれらのCVEを迅速に武器化し、ブルートフォースや使い回されたVPNパスワードと組み合わせることで、通常の監査ログを生成しながら境界セキュリティを完全に回避します。
Vectraの調査によると、脅威アクターは複雑なフィッシングキャンペーンを避け、認証後の直接的な資格情報窃取を優先するケースが増えています。
LummaC2やPhemedroneといったツールは、ブラウザのストレージから直接パスワードを抽出するために使用されており、初期認証のバリアを回避します。
さらに、従来型のドメイン乗っ取り手法も依然として高い有効性を発揮しています。Windows ServerのVSSバックアップからNTDS.ditファイルを窃取することで、攻撃者はドメイン全体への鍵を手に入れます。
この行為は、数週間後に身代金要求メモが展開されるまで検知されないことがほとんどです。
翻訳元: https://cyberpress.org/fortinet-flaws-fuel-ransomware/
