出典: Lanmas via Alamy Stock Photo
先週発表されたTrend Microの研究によると、ランサムウェア・アズ・ア・サービス(RaaS)オペレーションAnubisは、そのマルウェアキットにデータ消去機能を備えていることで際立っています。
Anubisは、RaaSのシーンに比較的新しく登場したグループで、昨年現れ、重要な業界の被害者に対する攻撃で急速にその地位を確立しました。このグループはまた、ランサムウェアアフィリエイトモデルでも注目されています。Anubisはアフィリエイトに、通常のRaaSモデルで80%の支払いを受けるオプション、データ窃盗攻撃後に被害者を脅迫するのをAnubisが手伝う代わりに総額の40%を受け取るオプション、そして侵害後に被害者を脅迫するのをAnubisが手伝う代わりに純ランサムの50%を受け取るオプションを提供しています。
Trend Microの最新の研究は、Anubisのいくつかの戦術、技術、手順(TTP)を共有し、ギャングの「消去」機能を紹介しています。この機能により、アフィリエイトは身代金が支払われるかどうかに関係なく、被害者のコンピュータからファイルを永久に消去することができます。
Anubisワイパー
多くのランサムウェアグループは、2025年に2種類の攻撃で知られています。ダブルエクスプロイション攻撃は、近年大きな人気を集めており、攻撃者がターゲットのネットワーク上のデータを暗号化しつつ、データを盗んで漏洩の脅威を与える形で展開されます。データ窃盗攻撃では、攻撃者はデータを盗み(「ランサムウェア」部分を完全に省略)、それを主な手段として身代金の支払いを強要します。
関連:子供のデータプライバシー懸念に対する新しいCOPPAルールが施行される
Anubisはクラシックなデータ窃盗と暗号化機能を備えていますが、消去ツールファイルの追加は「ファイルの回復の可能性に深刻な影響を与える」とTrend Microは述べています。
研究者によると、Anubisはスピアフィッシングメールを通じて被害者に初期アクセスを得ます。アクセスと権限の昇格が確認されると、ランサムウェアは指定されたドライブ上のボリュームシャドウコピーを削除するコマンドを実行します。これらは回復プロセスに重要とされる時点のスナップショットで構成されています。
さらに、Anubisランサムウェアには「ワイプモード」が含まれており、攻撃者がファイル内のすべてのデータを永久に削除し、ローカルでの回復を不可能にする機能があります。Trend Microの研究で示されたように、ファイルは被害者のディレクトリにリストされたままですが、サイズはゼロキロバイトになります。
なぜデータワイパーなのか?
Trend Microの脅威インテリジェンス担当副社長Jon Clayは、Dark Readingに対し、ワイパー機能の追加は追加の強要ベクトルを追加する可能性が高いと述べています。ワイプモードは「データが支払われない場合に消去されるという脅威を通じて、被害者に身代金を支払わせる追加の圧力を加える」とClayは言います。
Dark Readingは、ワイパーが国家としての顧客にアピールするためのツールになる可能性があるかどうか、たとえばウクライナに対する破壊的な攻撃の歴史を持つロシアなどに尋ねました。ウクライナに対する破壊的な攻撃。
関連:Regeneronが23andMeの買収におけるプライバシー保護を誓約
「確かに、アフィリエイトが破壊的な攻撃を行う動機がある場合、これはその方法になるでしょう」とClayは言います。「一部のアフィリエイトは国家の活動やハクティビズムに影響を受ける可能性があり、データを消去するオプションを持つことはこの操作を実行する手段になるかもしれません。」データ窃盗、データ暗号化、データ消去を含むサービスポートフォリオを提供することで、Anubisはアフィリエイトに多くのオプションを提供していると彼は付け加えました。
Anubisに対抗するために、Trend Microは企業に対し、オフラインバックアップの維持、必要に応じてのみ従業員にアクセス権限を制限、定期的なユーザートレーニングの実施、そして従業員が「ソースが確認され信頼されていない限り、添付ファイルをダウンロードしたり、リンクをクリックしたり、アプリケーションをインストールしたりしない」ことを推奨しています。
翻訳元: https://www.darkreading.com/data-privacy/anubis-ransomware-as-a-service-kit-adds-data-wiper