新たに出現した高度なランサムウェア亜種「CrazyHunter」は、先進的なアンチマルウェア回避技術と迅速なネットワーク内拡散を用いることで医療分野にとって重大な脅威となっており、セキュリティ研究者の強い懸念を招いています。
この脅威を初期の出現時から継続的に追跡しているTrellixは、このランサムウェアが医療機関を標的とするサイバー犯罪者の戦術における大きな進化を示していると報告しています。
CrazyHunterランサムウェアは、2024年半ばに登場したPrinceランサムウェア・ビルダーの派生種です。Go言語で開発されたこのWindows向け脅威は、ネットワーク侵害手法と防御回避メカニズムにおいて顕著な進歩を導入しています。
CrazyHunterの背後にいる脅威アクターは、被害者情報を公に暴露するデータ漏えいサイトについて言及しており、ファイル暗号化による業務妨害に加えて評判被害も与えています。
包囲される医療
CrazyHunterの主な標的は台湾の医療機関で、侵害が確認された組織は6機関に上ります。
攻撃者が医療施設を好むのは、医療サービスの重要性と、これらの組織が保有する膨大な機微な患者データのリポジトリに起因します。
病院の停止は生命に関わる結果を招き得るため、被害者には迅速に身代金を支払うよう強い圧力がかかります。CrazyHunterの運用者はこの計算を明確に理解し、悪用しています。
CrazyHunterの攻撃は、企業ネットワークの脆弱性を深く理解していることを示す、体系的な4段階のアプローチに従います。
初期侵害は通常、Active Directory基盤における弱いパスワードを悪用し、攻撃者にドメインレベルのアクセスを与えます。
その後ランサムウェアは、公開ツールであるSharpGPOAbuseを利用して、グループポリシーオブジェクト(GPO)を通じて悪性ペイロードを配布し、ネットワーク全体へ迅速に拡散します。
CrazyHunterで最も懸念される点は、高度な権限昇格手法です。このランサムウェアは、Zemanaアンチマルウェアドライバー(zam64.sys)を武器化したバージョンを用いる、持ち込み脆弱ドライバー(BYOVD)攻撃を実行します。
この高度な手法により、攻撃者はカーネルレベルで動作でき、暗号化ペイロードを展開する前にセキュリティソフトウェアを体系的に停止させます。
多層的な暗号化アーセナル
CrazyHunterは、暗号化の成功を確実にするため複数のコンポーネントを展開します。攻撃チェーンには、セキュリティ防御を無力化する専用の「AVキラー」実行ファイル(go.exeおよびgo2.exe)が含まれ、その後に主要なランサムウェア・ペイロード(go3.exe)が続きます。
Donut Loader(bb.exe)は、シェルコードを直接メモリに読み込むことでファイルレス実行を可能にし、ディスクベースの検知メカニズムを回避します。
ダウンロードされたファイルは\tempディレクトリに「Wallpaper.png」として保存されます。別のPowerShellコマンドが実行され、これを壁紙として設定します。
このランサムウェアはファイル暗号化にChaCha20ストリーム暗号を使用し、暗号化処理を高速化するため、1バイトを暗号化して2バイトを未暗号化のまま残すという特徴的な1:2パターンを採用しています。
エンドポイント検知機能は、BYOVD攻撃およびAVキラーコンポーネントを特定してブロックするうえで不可欠です。ネットワークセグメンテーションは横方向の移動を制限でき、改ざん不可能なオフラインバックアップは身代金を支払わずに復旧する選択肢を提供します。
暗号鍵は楕円曲線統合暗号化方式(ECIES)で保護されており、被害者は攻撃者の秘密鍵なしにファイルを復号できません。暗号化されたファイルにはHunter拡張子が付与されます。
セキュリティ専門家は、CrazyHunterに対するいくつかの重要な防御策を強調しています。組織はすべてのドメインアカウントに多要素認証を強制し、グループポリシーオブジェクトの変更権限を厳格に管理する必要があります。
Trellixは、既知のCrazyHunter関連実行ファイルすべてを対象とする包括的な保護対策を実装しており、この進化する脅威に対する強固な防御を顧客に提供しています。
ランサムウェア運用者が高度な回避技術の開発を続ける中、医療機関は患者データを保護し、重要な診療業務を維持するために、サイバーセキュリティ投資を優先しなければなりません。
翻訳元: https://gbhackers.com/crazyhunter-ransomware/
