サイバーセキュリティの脅威として、INC ランサムウェアの存在感が急速に高まっています。この Ransomware-as-a-Service(RaaS)グループは、2023年半ばに活動を開始して以来、世界中で800件以上の被害を生み出している、極めて活発な脅威アクターです。
INC は二重恐喝戦術を積極的に用いることで知られており、主に米国の法律、製造、テクノロジー、医療の各分野における著名な組織を標的にしています。
同グループは急速に進化を遂げており、最近では Windows および Linux/ESXi 環境の双方を侵害可能な、高度な Rust ベースのペイロードを展開するようになっています。
INC の関係者(アフィリエイト)は、企業ネットワークへの侵入にさまざまな手法を使い分けています。
初期アクセスの手段としては、スピアフィッシングキャンペーン、初期アクセスブローカーからの認証情報購入、あるいは公開サービスに存在する既知の脆弱性の悪用が一般的です。
標的となるシステムには、Citrix NetScaler(CVE-2023-3519)、Fortinet EMS(CVE-2023-48788)、Citrix Bleed 2(CVE-2025-5777)の影響を受けるものが多く含まれています。
ネットワーク内部への侵入後は、標準的なコマンドラインツールや IP スキャナーを使って、静かに環境を把握していきます。
権限昇格には、高度にカスタマイズされた Base64 エンコードの PowerShell スクリプトを展開し、Veeam バックアップサーバーから機密性の高い認証情報を直接ダンプします。
この専用ツールは、ソルト付きの Data Protection API(DPAPI)復号ルーティンを活用して管理者パスワードを抽出し、被害者のインフラ全体を深くコントロールすることを可能にします。
同グループの技術的な洗練度は、ランサムウェアのペイロードにも如実に現れています。ペイロードは全面的に Rust で書き直されており、リバースエンジニアリングを困難にしながら、クロスプラットフォームの攻撃をシームレスに実行できる設計となっています。
Windows システムでは、マルウェアがマルチスレッドと段階的な部分暗号化ルーティンを駆使し、破壊プロセスを大幅に高速化します。また、システムが身代金要求メモをデスクトップに表示したり、ネットワークプリンターに恐喝文書を印刷したりできる程度の機能を保てるよう、重要なシステムファイルは意図的に回避します。
さらに同グループは、身代金交渉用のプライベートポータルと、交渉に応じない被害者を公開する情報漏洩サイトという二重のサイト構成による恐喝戦略を採用しています(Acronis による報告)。
Linux および VMware ESXi サーバーに対するペイロードも、同様に甚大な被害をもたらします。マルウェアは VMware に組み込まれた管理コマンドを利用して、稼働中のすべての仮想マシンをシャットダウンした後、組織的に暗号化を行います。
これにより、ハイパーバイザーによるファイルのロックを回避し、仮想化環境全体で最大限のデータ破壊を実現します。
Windows・Linux 双方のペイロードには、Curve25519 楕円曲線暗号と AES-128 を組み合わせた高度なハイブリッド暗号化方式が採用されています。
INC ランサムウェアへの対策には、積極的かつ多層的なセキュリティ戦略が不可欠です。公開サービスの脆弱性パッチ適用を優先するとともに、強固な多要素認証によってリモートアクセスポイントを保護することが求められます。
厳格なネットワークセグメンテーションの導入とアウトバウンドトラフィックの制限は、攻撃者が RMM ツールや rclone を使ったデータ窃取を行う際の妨げになります。
また、改ざん防止機能を備えた高度なエンドポイント保護の導入も不可欠であり、防御機能の無力化を狙う同グループの戦術をブロックするうえで重要な役割を果たします。
さらに、オフラインかつ不変性を持つバックアップを維持しておくことで、ネットワーク全体が暗号化された場合でも、高額な身代金の要求に屈することなく重要な業務を復旧できる体制を整えることができます。
翻訳元: https://cyberpress.org/inc-ransomware-exfiltrates-data/
