新たなランサムウェア・アズ・ア・サービス(RaaS)事業を開始したと主張する脅威アクターが、交渉パネルにAIチャットボットを活用し、コミュニケーションの自動化と被害者への心理的圧力の強化を図っています。
2025年6月、$$$という別名で知られるランサムウェアアクターが、ロシアのサイバー犯罪フォーラム「Russian Anonymous Market Place(RAMPまたはRamp4u)」上で新たなRaaSブランド「GLOBAL GROUP」を公に発表しました。
Picus Securityの研究者は、マルウェアサンプル、インフラ構成、制御ロジックにわたるフォレンジック調査を迅速に実施し、漏洩したAPIメタデータ、リバースエンジニアリングされたバイナリコード、脅威アクターの行動などを分析しました。
その結果、GLOBAL GROUPには新機能はほとんどなく、Mamona RIPやBlack Lockランサムウェアファミリーに見られる機能が含まれていることが判明しました。
7月21日のレポートで、Picus SecurityはGLOBAL GROUPがこれら2つのグループのリブランディングであると評価しました。
「ペイロード、配信、制御、運用のあらゆる層で、GLOBALはイノベーションよりも継続性と成熟度を示しています」と研究者は記しています。
AIチャットボット搭載の交渉パネル
しかし、GLOBALグループが導入したイノベーションの一つが、交渉プロセスの開始にAIチャットボットを利用することです。
このランサムウェアグループは、被害者をTorベースのデータリークサイトと別の交渉パネルに誘導するデュアルポータルモデルを提供しており、LockBitの分割型バックエンドを彷彿とさせる構造で、GLOBALが二重脅迫手法を採用していることを示唆しています。
交渉パネルにアクセスすると、被害者はコミュニケーションを自動化し、心理的圧力をかけるために設計されたAI搭載チャットボットに迎えられます。
このパネルは非技術者向けに設計されており、サンプル暗号化ファイルをアップロードして無料で復号検証できるプロンプトが用意されています。すべてのやり取りは安全なチャネル上で行われ、緊急性を強調するためのタイマーが表示されます。
アナリストが確認したチャット記録では、BTC9.5(交渉時点で100万ドル相当)など7桁に及ぶ要求や、データ公開の脅しがエスカレートする様子が見られます。
GLOBALのアフィリエイトはこのパネルにアクセスでき、交渉の監視や身代金支払い期限の設定、さらにはモバイル対応インターフェースを通じて被害者と直接やり取りすることも可能です。
「AIチャット自動化の統合により、アフィリエイトの負担が軽減され、人間のオペレーターが不在でも交渉が進行し、GLOBALはタイムゾーン、言語、組織プロファイルを問わず被害者対応を拡大できる」とPicus Securityの研究者は述べています。
GLOBALの手法、戦術、手順
GLOBALの手法、戦術、手順(TTP)の大部分はMamona RIP、Black Lock、Lockbitから借用されています。
新興のランサムウェアグループはクロスプラットフォーム対応のGolangベースのペイロードを使用し、Goの静的リンクや並列処理機能を活用してWindows、Linux、macOSシステム全体で暗号化速度を最大化しています。これは大規模暗号化における効率性からGoを好む近年のランサムウェアの傾向と一致します。
主な戦術として、Mamona RIPで以前見られたミューテックス文字列(Global\Fxo16jmdgujs437)の再利用があり、単なる再パッケージではなくコード継承を示唆しています。このミューテックスにより単一インスタンス実行が保証され、複数のランサムウェアプロセスが同時に動作するのを防ぎます。
加えて、グループはChaCha20-Poly1305暗号化を利用しており、これはBlack LockやLockBitと同様に、機密性と完全性を提供する現代的なアルゴリズムであり、復旧対策を困難にします。
身代金メモはバイナリにハードコードされており、README.txtとしてディスクに書き込まれ、強制的な文言と復号証明メカニズムが含まれています。これはMamona RIPの手法を反映しており、心理的圧力と技術的検証を組み合わせています。
特筆すべきは、グループのフロントエンドAPIの露出により、バックエンドSSH認証情報や実IPアドレス(例:193.19.119[.]4)などの運用セキュリティ上の失敗が明らかになり、これがMamonaと関連するロシアのVPSプロバイダーIpServerに結び付けられています。これは両グループ間で開発系統の共有、または少なくとも運用慣行の重複を示唆しています。
GLOBALランサムウェアビルダーはRaaSプラットフォームであり、カスタマイズ可能なペイロードジェネレーターを備え、アフィリエイトが暗号化率、ファイル拡張子、追加の悪意ある動作(プロセスの強制終了、ログ削除、自己削除など)を設定できます。
このモジュール式アプローチは、機能をコンパイル時に動的に組み込むことで検知回避を助け、LockBitのビルダーにも見られる戦術です。
ESXi、BSD、NASアプライアンスを標的にできる能力もあり、これはBlack Lockのハイブリッド環境への注力と同様に、攻撃範囲を拡大しています。
並列暗号化のためのゴルーチンや、リカバリ妨害のためのファイル名暗号化の利用は、Mamona RIPとLockBit双方から実行効率や回避技術を取り入れた、さらなる改良点です。
GLOBALへの検知、緩和、対応戦略
Picus Securityの研究者はレポート内で、セキュリティチームがGLOBALランサムウェアの脅威を検知、緩和、対応するために実施できる包括的な戦略と対策リストを共有しています。これには以下が含まれます:
- Golangベースのプロセスにおける異常なCPU/メモリ急増や暗号APIコールを監視することで、マルチスレッドChaCha20-Poly1305暗号化を検知
- ファイルアクセス監視や異常検知を通じて、カスタムファイル拡張子や暗号化ファイル名を追跡し、ランサムウェア活動を特定
- wevtutil、vssadmin、net useなどのネイティブユーティリティの悪用を監視し、攻撃者によるログ改ざん、シャドウコピー削除、横展開を検知
- クラウドインフラへの不正なSSHアクセスを追跡し、特に異常な地理位置や既知の悪意あるIPからのアクセスを監視
- OWA(Outlook Web Access)やRDWeb(リモートデスクトップWebアクセス)での認証異常を分析し、セッションハイジャックや認証情報リプレイ攻撃を検知
- 行動分析により、珍しいミューテックス文字列(例:Global\Fxo16jmdgujs437)を特定し、単一インスタンスのランサムウェア実行を示唆
- ドメイン未参加エンドポイントからの横展開パターンを相関分析し、初期アクセスや権限昇格の兆候を検知
- サービスレベルのテレメトリを分析し、不審なプロセスチェーン(例:OpenProcess → TerminateProcess)や複数プロトコル間での認証情報再利用を検出
- BAS(侵害・攻撃シミュレーション)を用いてGLOBALの攻撃技術を模倣し、検知・対応能力を検証
- セキュリティ制御を評価し、静的なIOCだけでなく実際の攻撃挙動をブロックできるか確認
- 誤設定された検知ルールやテレメトリカバレッジのギャップによる死角を特定・修正
- Microsoft Defender、CrowdStrike、SentinelOneなどベンダー固有の緩和策を適用し、確認されたセキュリティギャップに対応
- リスクの高い環境でのGolangバイナリ実行を制限し、異常なGoベースプロセスを監視
- 最小権限アクセス制御を徹底し、ランサムウェアによるファイル暗号化やバックアップ削除の範囲を制限
- 不要なネイティブユーティリティ(例:wevtutil、vssadmin)をグループポリシーやアプリケーション制御ポリシーで無効化
- TorベースのC2トラフィックや既知のランサムウェアリークサイトドメイン(例:.onionアドレス)を監視・ブロック
- ネットワークセグメンテーションを実施し、侵害されたエンドポイントから重要資産への横展開を防止
翻訳元: https://www.infosecurity-magazine.com/news/ransomware-ai-chatbot-pressure/