世界最大級の企業を標的としてきたサイバー犯罪データ恐喝グループ World Leaks が、これまで見られなかった新型のマルウェアを武器に加えたことが、Accenture Cybersecurity の調査で明らかになった。
Accenture はこのマルウェアを「RustyRocket」と命名した。これにより World Leaks はネットワーク上で隠密に永続性を維持でき、恐喝グループの攻撃における重要な要素となっている。
「この洗練されたツールセットは World Leaks の活動における重要な構成要素であり、完全にレーダーの下で機能しており、アフィリエイトが被害者の環境全体でデータを密かに流出させ、トラフィックをプロキシできるようにしています」と、Accenture サイバーインテリジェンスの MD 兼グローバル責任者である T. Ryan Wheeler 氏がLinkedIn の投稿で述べ、この調査を明らかにした。
World Leaks はランサムウェアグループとして分類されているが、データを暗号化して復号鍵の身代金を要求するのではなく、機密性の高い企業および個人データを盗み、身代金が支払われなければ公開すると脅迫する手口を取っている。
このグループはNike を被害者の一つとして主張し、このスポーツブランドが恐喝要求に屈することを拒否した後、188,000 件以上の盗んだファイルを公開した。
RustyRocket、洗練された Rust マルウェア
Rust で記述され、Microsoft Windows と Linux 環境の両方を標的とするように設計された RuskyRocket マルウェアは、「洗練されたデータ流出およびプロキシツール」と説明されており、攻撃者が高度に難読化された多層暗号化トンネルを通じてデータを盗むことを可能にする。
これにより、悪意のある活動が正規のネットワーク活動の中に紛れ込む。研究者らは、これにより World Leaks による RustyRocket の活動は「極めて困難」に検出されると指摘している。
このマルウェアは監視を困難にするように設計されている。これを実現するために、RustyRocket は実行時にユーザーが事前に暗号化された設定を入力することを要求するという斬新な実行ガードレールを採用している。
「簡単に言えば、RustyRocket は発見が非常に困難で、高い柔軟性を持っており、データを盗み、ネットワークをプロキシし、恐喝に焦点を当てたサイバー攻撃を先導するために完璧に作り込まれています」と Wheeler 氏は述べた。
World Leaks は 2025 年初頭から活動しており、通常、ソーシャルエンジニアリング、盗まれた認証情報、または露出したインフラストラクチャの悪用を介して初期ネットワークアクセスを取得する。
RustyRocket のような洗練された隠密性の高いツールを展開することで、World Leaks はネットワーク内で永続性を維持し、最終的に恐喝に使用されるデータを収集する時間を確保できる。
「RustyRocket は、ハッカーが従来の防御を混乱させる技術をどのように進化させているかを示す好例です」と Wheeler 氏は述べた。
「これは、企業にとって最善の防御策は、継続的な脅威露出管理、セキュリティテスト、レッドチーミングのための高度なアプローチに傾倒することで防御を強化し、同時にこのような攻撃に備えて人員を準備することであることを示しています」と彼は付け加えた。
RustyRocket を展開する World Leaks のサイバー攻撃、および類似のマルウェア、ランサムウェアおよび恐喝キャンペーンから防御するために、Accenture は、組織が異常なアウトバウンドデータ転送を監視し、攻撃者による横方向の移動を制限するためにネットワークセグメンテーションを適用すべきだと推奨している。
翻訳元: https://www.infosecurity-magazine.com/news/world-leaks-ransomware-rustyrocket/
