運用上のセキュリティ(OpSec)の失敗により、研究者はINCランサムウェア集団が米国の12組織から盗み出したデータを復旧できました。
残された痕跡を詳細にフォレンジック調査したところ、調査対象の攻撃では使用されていないツールが見つかりましたが、それによって複数の被害者から流出したデータを保存していた攻撃者インフラが露呈しました。
この作戦は、デジタルフォレンジックおよびインシデント対応企業Cyber Centaursが実施したもので、同社は昨年11月に成功を公表 しており、今回BleepingComputerに詳細の全容を共有しました。
Cyber Centaursの調査は、ある米国の顧客組織が本番SQL Server上でランサムウェアによる暗号化活動を検知したことを受けて開始されました。
ペイロードはRainINCランサムウェアの亜種で、通常Windowsによって作成されるPerfLogsディレクトリから実行されていました。しかし、ランサムウェア攻撃者はステージング用途としてこのディレクトリをより頻繁に利用するようになっています。
研究者はまた、正規のバックアップツールResticのアーティファクトの存在にも気づきましたが、データ流出はラテラルムーブメント段階で発生しており、脅威アクターはこの攻撃で当該ユーティリティを使用していませんでした。
これにより、研究者の調査は「インシデント対応からインフラ分析へ」と軸足が移りました。
INCランサムウェアが残した痕跡には、リネームされたバイナリ(例:‘winupdate.exe’)、Resticを実行するPowerShellスクリプト、ハードコードされたリポジトリ設定変数、そしてバックアップコマンドが含まれていました。
Resticに関連する残存物は、脅威アクターが運用ツールキットの一部としてバックアップツールを選択的に使用していたことを示していました。
発見されたPowerShellスクリプトの1つ「new.ps1」には、Restic向けのBase64エンコードされたコマンドが含まれており、ツール実行に用いられる環境変数(アクセスキー、リポジトリパス、暗号化リポジトリ用のS3パスワード)がハードコードされていました。
「もしINCがキャンペーンをまたいでResticベースのインフラを常習的に再利用しているなら、攻撃者スクリプトで参照されるストレージリポジトリは、身代金事案が終結しても解体されない可能性が高い」と研究者は推測しました。
「その代わり、そうしたリポジトリは攻撃者が管理する長期的な資産として存続し、交渉が終わった後や支払いが行われた後も、暗号化された被害者データをひそかに保持し続ける可能性が高い」
もしそうであれば、他組織から盗まれたデータが暗号化された形でまだ残っており、バックアップサーバーから復旧できる可能性があります。
この仮説を検証するため、チームは制御された非破壊の列挙プロセスを開発し、米国の医療、製造、テクノロジー、サービス各分野に属する無関係な12組織から盗まれた暗号化データが存在することを確認しました。
これらの組織はいずれもCyber Centaursの顧客ではなく、インシデントも互いに無関係で、別個のランサムウェア事案でした。
出典:Cyber Centaurs
研究者はその後バックアップを復号し、コピーを保全したうえで、所有権の確認と適切な手順の案内を得るために法執行機関へ連絡しました。
Cyber Centaurs のレポートには、INCランサムウェア攻撃で使用される複数のツールが列挙されており、これにはクリーンアップツール、リモートアクセスソフトウェア、ネットワークスキャナーなどが含まれます(このほかにもあります)。
出典:Cyber Centaurs
研究者はまた、防御側が環境内に存在するResticバックアップツール、またはリネームされたバイナリを検知したり、不審な場所から実行されていることを検出したりできるよう、YARAおよびSigmaルールも作成しました。これは、開発中のランサムウェア攻撃の兆候となり得ます。
INCランサムウェアは、2023年半ばに出現したランサムウェア・アズ・ア・サービス(RaaS)型のオペレーションです。
この脅威アクターはこれまでに、ヤマハ発動機、Xerox Business Solution、スコットランドのNHS、McLaren Health Care、テキサス州弁護士会、Ahold Delhaize、パナマ経済省、ペンシルベニア州司法長官事務所、そしてCrisis24など、複数の著名な被害者を名乗ってきました。
