コンテンツにスキップするには Enter キーを押してください

新たなChaosランサムウェアが出現、攻撃の波を開始

投稿日 2025年7月25日

Cisco Talosの報告によると、Chaosと呼ばれる新たなランサムウェアオペレーターが、幅広い業界に影響を及ぼす侵入攻撃の波を開始しました。

被害者の多くは米国に拠点を置いており、一部は英国、ニュージーランド、インドにも存在すると、攻撃者のデータリークサイトで報告されています。

標的は機会主義的であり、特定の業種に焦点を当てていません。しかし、Chaosは「ビッグゲームハンティング」に注力しており、二重脅迫戦術を使用しています。

Ciscoが観測したある事件では、グループは新しい交渉戦略を採用し、攻撃者への支払いに対して追加の「報酬」を提供したり、要求に応じなかった場合には追加の「罰則」を課すと脅迫しました。これには分散型サービス拒否(DDoS)攻撃の脅しも含まれています。

「Chaosランサムウェアのアクターは、進化する脅威の状況に最近加わった懸念すべき存在であり、今回の侵入の波以前にはほとんど活動履歴がありませんでした」と研究者らは7月24日付のブログで述べています。

グループは政府からの独立を宣言

2025年2月に登場したランサムウェア・アズ・ア・サービス(RaaS)グループは、ダークウェブのロシア語サイバー犯罪フォーラム「Ransom Anon Market Place(RAMP)」でクロスプラットフォーム対応のランサムウェアソフトウェアを積極的に宣伝し、アフィリエイトとの協力を求めています。

グループは、BRICS/CIS諸国(ロシアを含む)、病院、政府機関とは協力しないことを明言しています。

Chaosのランサムウェア暗号化はWindows、ESXi、Linux、NASシステムに対応しており、個別ファイル暗号化キー、高速な暗号化速度、ネットワークリソースのスキャンなどの機能を備えています。

この新しいギャングは、Chaosランサムウェアビルダーツールやその開発者による亜種とは関係ありません。

研究者らは、中程度の確信をもって、ChaosはBlackSuit/Royalギャングの元メンバーによって構成されている可能性が高いと評価しています。この評価は、ランサムウェアの暗号化手法、身代金要求メモの構造、攻撃に使用されたツールセットの類似性に基づいています。

音声を利用したソーシャルエンジニアリングの活用

Chaosは、ソーシャルエンジニアリングを利用して被害者ネットワークへの初期アクセスを獲得していることが観測されています。これには、メールと音声フィッシングの組み合わせが含まれます。

攻撃者はまず、ターゲットに大量のスパムメールを送り、電話で脅威アクターに連絡するよう促します。

被害者が連絡を取ると、脅威アクターはITセキュリティ担当者を装い、WindowsマシンでMicrosoft Quick Assistなどのリモート支援ツールを起動し、攻撃者のセッションに接続するよう指示します。

アクセスが得られると、攻撃者はネットワーク構成情報や実行中のプロセスなど、侵害後の発見や偵察を行います。

その後、悪意のあるファイルのダウンロードと実行、コマンド&コントロール(C2)サーバーへの接続のための環境準備として、複数のスクリプトやコマンドが実行されます。

AnyDeskやScreenConnectなどの正規のリモート監視・管理(RMM)ツールが永続化のために利用されます。また、攻撃者はnet[.]exeユーティリティを使って、被害者ネットワーク内の列挙されたドメインユーザーアカウントのパスワードをリセットします。

PowerShellのイベントログはセキュリティ対策を回避するために被害者マシンから削除され、攻撃者はセキュリティアプリや多要素認証(MFA)アプリのアンインストールも試みます。

攻撃者は、正規かつ広く利用されているファイル同期・バックアップソフト「GoodSync」を使って、被害者マシンからデータを抽出していることも観測されています。

コマンドを使って抽出するファイルをフィルタリングし、検知を引き起こす可能性のある大容量または機密性の高いファイルを避けている可能性があります。

ランサムウェアは、被害者マシン上の標的ファイルに対して選択的な暗号化を行い、ファイルの特定部分のみを暗号化することで暗号化速度を高めています。暗号化されたファイルには「.chaos」拡張子が付与されます。

追加インセンティブを用いた交渉戦略

Ciscoが観測したケースでは、攻撃者は被害者とのコミュニケーションチャネルを通じて30万ドルの身代金を要求しました。

被害者が要求に応じて支払った場合、攻撃者は標的環境向けの復号アプリケーションと、被害者環境で実施したペネトレーションテストの詳細なレポートを提供すると約束しました。

また、盗んだデータは公開せず、完全に削除し、再度攻撃しないことも保証しました。

しかし、身代金が支払われなかった場合、脅威アクターはさらなる脅迫を行いました。盗んだデータの公開や、被害者のインターネットに公開されている全サービスへのDDoS攻撃を行うと脅しました。さらに、データ漏洩のニュースを競合他社や顧客に広めるとも脅迫しました。

「Chaosランサムウェアの身代金要求メモは、Royal/BlackSuitと同様のテーマや構造を持っており、挨拶、セキュリティテストへの言及、二重脅迫メッセージ、データ機密保持の保証、連絡用のオニオンURLなどが含まれています」と研究者らは付け加えました。

翻訳元: https://www.infosecurity-magazine.com/news/chaos-ransomware-wave-attacks/

Published in infosecurity-magazine-com

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です