ランサムウェア集団がTeamPCPと提携、「産業化」するサイバー攻撃に警戒感

ランサムウェア集団と、サプライチェーン攻撃を通じて認証情報を窃取することに特化したサイバー犯罪集団が手を組みました。セキュリティ研究者はこの動きを「前例のない産業化型ランサムウェアモデル」と表現しています。

Sophosが詳細を報告したところによると、今回の提携はVectランサムウェアグループと、英語圏のサイバー犯罪者集団「The Com」に属し、一連の著名なサプライチェーン攻撃の背後にいるとされるTeamPCPとの間で結ばれたものです。

Sophosは7月2日に公開したブログ記事で、開発者を特に標的とする大規模なサプライチェーン認証情報窃取を手掛けるTeamPCPと、ランサムウェア・アズ・ア・サービス(RaaS)を運営するVectとの融合が「ランサムウェアの脅威地図における重大な転換点」を意味すると警告しています。

その結果、TeamPCPによってログイン認証情報を盗まれた組織は、Vectによるランサムウェア攻撃の被害にも遭うリスクが一段と高まることになります。

両グループとも、他のサイバー犯罪組織と連携してきた実績があります。Vectは2025年末に登場したばかりの新興集団ですが、2026年初頭にはサイバー犯罪ハッキングフォーラムのBreachForumsとの提携に合意しています。一方のTeamPCPも、悪名高いLapsus$グループをはじめとする恐喝集団との協業実績があります。

ただし、TeamPCPが侵害してきたアカウント数の多さを考えると、TeamPCPとVectの今回の提携はとりわけ強力なものになる可能性があります。例えば2026年3月には、TeamPCPがAqua Securityの脆弱性スキャナー「Trivy」を標的にした攻撃を仕掛け、CI/CDワークフロー1万件が侵害され、クラウドトークンを含む50万件以上のログイン認証情報が盗まれる事態となりました。

関連記事:ランサムウェアがサイバーセキュリティにおいて最も根強く、コストのかかる脅威であり続ける理由

Sophosの研究者らは、TeamPCPから得た認証情報を使ったVectランサムウェアの展開事例を、少なくとも1件確認済みだとしています。

「脅威グループはますます企業のような形態で活動するようになっており、それぞれの専門的な能力を組み合わせて協力し、新たな攻撃パイプラインを構築しています。AIがますます手に入りやすくなるにつれ、ランサムウェアの脅威地図はさらに急速に産業化が進み、攻撃実行に伴う作業の多くが自動化されることで参入障壁が下がっていくと予想されます」と、Sophos X-Ops脅威対応ユニット(CTU)の脅威インテリジェンス責任者、Rafe Pilling氏は述べています。

このサイバー犯罪者間の提携に関する調査結果は、FBIがTeamPCPの活動に関するFLASH警告を発表したのと同日に公開されました。

「TeamPCPの実行犯は、広く使われている開発者向けツールやセキュリティツールを標的に大規模なソフトウェアサプライチェーン侵害を行い、被害者の環境へのアクセス権を獲得したうえで、クラウドアクセストークン、SSH鍵、Kubernetesシークレットなどを含む機密データを窃取してきました」とFBIの警告文には記されています。

FBIはまた、TeamPCPのキャンペーンに関連することが判明しているマルウェアや情報窃取ツールの一部についても詳細を明らかにしています。これらには、CanisterWorm、Sandclock、オープンソースリポジトリを標的とする自己増殖型ワームのMini Shai-Hulud、そしてMini Shai-Huludの亜種であるMiasmaが含まれます。

TeamPCPがソフトウェアサプライチェーンの侵害に注力していること、さらにVectランサムウェアグループとの提携が加わったことを踏まえ、Sophosは組織がこれら両者の複合的な脅威に対して可能な限り万全の対策を講じておくことが極めて重要だと警告しています。

「ソフトウェア開発環境は、いつの間にか企業内で最も重大でありながら、最も管理が行き届いていない攻撃対象領域の一つになっています」とPilling氏は述べています。

「組織は、サプライチェーン攻撃に対する自社の露出状況を迅速に評価し、対応できる態勢へと移行しなければなりません。サードパーティ製アップデートを環境全体に展開する前に、その完全性と安全性を慎重に検証することが極めて重要です」と同氏は付け加えました。

翻訳元: https://www.infosecurity-magazine.com/news/industrialized-cyberattacks/

ソース: infosecurity-magazine.com