米国当局は昨日、Snatchランサムウェア・アズ・ア・サービス(RaaS)グループが用いる最新の戦術・技術・手順(TTP)について、組織向けに更新する新たなサイバーセキュリティ勧告を公表した。
Snatchは2018年に初めて確認されたものの、2021年以降は継続的に開発が続けられており、他の攻撃活動の手法を取り入れていると、サイバーセキュリティ・インフラストラクチャ・セキュリティ庁(CISA)とFBIが説明した。
同グループは典型的な二重恐喝の手口を用い、支払いに応じない場合は被害者の詳細をリークサイトに掲載する。
「Snatchの脅威アクターは、Snatchの恐喝ブログでデータを公開されるのを避けるために身代金を支払わせようとして、他のランサムウェア亜種から以前に盗まれたデータを購入していることが確認されている」と勧告は続けた。
ランサムウェアについてさらに読む: CISA、ランサムウェア通知イニシアチブを発表
同グループは通常、初期侵入のためにRDPエンドポイントへのブルートフォース攻撃を試みるか、ダークウェブで購入した認証情報を使用し、管理者アカウントを侵害して永続化を確立したうえで、ロシアのブレットプルーフ・ホスティングサービス上でホストされたコマンド&コントロール(C2)サーバーへポート443経由で接続を確立する。
勧告によれば、アフィリエイトは横展開とデータ探索のためにMetasploitやCobalt Strikeなどのツールを使用し、被害者ネットワーク内に最長で3か月滞在することもあるという。
また、かなり独特な方法でアンチウイルスを無効化しようとすることも多い。
「Snatchの脅威アクターは、デバイスをセーフモードで再起動させる点が特徴のカスタマイズされたランサムウェア亜種を使用しており、これによりランサムウェアはアンチウイルスやエンドポイント保護による検知を回避し、稼働しているサービスが少ない状態でファイルを暗号化できる」と、勧告は説明している。
被害組織は、防衛産業基盤(DIB)や食品・農業、さらにテック分野など、さまざまな重要インフラ部門にまたがる。
CardinalOpsのCEOであるマイケル・ムムクオグル氏は、この勧告は最近の同グループの活動増加を受けて発出された可能性があると述べた。
「Snatchランサムウェアグループは過去12〜18か月で活動が増加しており、南アフリカ国防省、米カリフォルニア州モデスト市、カナダのサスカチュワン空港、ロンドン拠点のBriars Groupなど、最近の複数の注目度の高い攻撃について犯行声明を出している」と同氏は語った。
Optivのサイバー業務プラクティスリーダーであるニック・ハイアット氏は、同グループのTTPはここ数か月で大きくは変わっていないと主張した。
「2022年7月から2023年6月の間に、私たちは全業種にわたってSnatchによる70件の攻撃を追跡した。圧倒的に、それらの攻撃は北米に集中していた」と同氏は付け加えた。
翻訳元: https://www.infosecurity-magazine.com/news/us-government-in-snatch-ransomware/
