ここ数ヶ月で、2つの新しいランサムウェアファミリーであるBQTLockとGREENBLOODが主要なサイバーセキュリティ脅威として特定されています。これらのランサムウェアタイプは、ステルス性、速度、データ窃取を組み合わせることで、ビジネスオペレーションに重大な混乱を引き起こしています。
両方の脅威は、従来の防御を回避する高度な技術を使用しており、それによって検出と影響の軽減に必要な時間が増加しています。
BQTLockは、データ窃取に関連する高度なランサムウェアであり、悪意のあるペイロードを発動する前に静かにシステムに侵入するように設計されています。すぐに明白な攻撃を開始する代わりに、BQTLockは最初にWindowsの正規プロセス内に隠れ、早期検出を困難にします。
信頼されたexplorer.exeプロセスにRemcosマルウェアを注入することで、BQTLockはレーダーの下に留まり、fodhelper.exeを介したUAC(ユーザーアカウント制御)バイパスにより昇格された権限を取得します。
これが完了すると、ランサムウェアは自動実行メカニズムを介して永続性を確立し、システム再起動後もアクセスを維持できるようにします。
脅威はランサムウェアだけにとどまりません。攻撃がアクセスを取得すると、BQTLockは認証情報やスクリーンキャプチャを含む機密データの収集を開始し、インシデントを完全なデータ侵害に変えます。
このステルス的な準備により、チームが時間内に対応することが困難になり、運用の中断とコンプライアンス問題の可能性が高まります。
ANY.INなどの行動分析ツールを活用することで、セキュリティチームはBQTLockの活動をリアルタイムで観察できます。
サンドボックス内で、アナリストはプロセス注入、権限昇格、永続化メカニズム、データ窃取などの主要なアクションを確認できます。
これらの早期指標により、チームは攻撃がまだ初期段階にある間に特定でき、暗号化フェーズが始まる前に迅速に対応できるようになります。
BQTLockのステルス的なアプローチとは対照的に、GREENBLOODは速度と混乱を目的として設計されています。このGoベースのランサムウェアはChaCha8暗号化を採用しており、数分以内にファイルをロックして、即座に運用の中断を引き起こすことができます。
GREENBLOODを際立たせているのは、実行ファイルの痕跡を削除してフォレンジック可視性を制限する、積極的な自己削除戦術です。
暗号化が完了すると、ランサムウェアはTORベースのリークサイトも使用して恐喝の圧力を加え、身代金が支払われない場合は盗んだデータを公開すると脅迫します。
GREENBLOODの最大のリスクは、その動作速度です。
暗号化が被害者に見えるようになる頃には、機密データがすでに盗まれている可能性があり、ANY.RUNサンドボックスなどのリアルタイム検出環境では、ビジネスオペレーションが大きく影響を受けている可能性があります。チームはGREENBLOODの高速暗号化とクリーンアッププロセス、およびインシデント後の分析を妨げるためのマルウェアファイル削除の試みを観察できます。
同じサンドボックスツールを使用することで、セキュリティチームはChaCha8暗号化活動や自己削除の試みなどの指標を追跡できます。
ランサムウェアが広く拡散する前に対応するためには早期検出が重要であり、ビジネスのダウンタイムとデータ漏洩のリスクを軽減します。
BQTLockとGREENBLOODの両方は、ステルス性と迅速な技術を活用して影響を増大させており、攻撃の初期段階での検出と対応が重要になっています。
サイバーセキュリティチームにとっての重要なウィンドウは、暗号化前と初期実行時です。
暗号化が発生する前にプロセス注入、権限昇格、認証情報窃取などの侵害の兆候を検出することで、封じ込めを大幅に改善し、攻撃のビジネスへの影響を軽減できます。
BQTLockとGREENBLOODは、速度、ステルス性、データ窃取が損害を増幅するために使用される、ランサムウェア攻撃の高度化の進展を浮き彫りにしています。
これらの脅威が進化するにつれて、組織は攻撃者の先を行くために最新の検出および対応戦略を採用する必要があります。
翻訳元: https://cyberpress.org/bqtlock-greenblood-target-organizations/
