被害はすでに17カ国に及び、製造業と建設業が最も大きな打撃を受けています。アナリストは、カスタム回避ツールとドメイン全体への展開戦術が、運用・規制・評判リスクを高めていると警告しています。
新たな脅威アクター「The Gentlemen」は、アジア太平洋、南米、米国、中東で急速に活動を拡大しているランサムウェアグループとして登場しました。8月に初めて確認されて以来、すでに17カ国の組織が被害を受けており、製造業、建設業、医療、保険など幅広い業種が標的となっています。
トレンドマイクロは、The Gentlemenをこれまで文書化されていなかったランサムウェアオペレーションと分類しており、企業向けセキュリティ防御を回避するための適応的な戦術を用いています。この脅威アクターは、正規のドライバーを利用して防御を回避し、グループポリシーオブジェクト(GPO)を悪用してドメイン全体の侵害を促進し、エンドポイントセキュリティを無効化するためのカスタムマルウェアツールを展開しています。
カスタマイズされた攻撃手法
調査によると、インターネットに公開されたサービスや侵害された認証情報が、初期侵入の足掛かりとして悪用されています。
これは計画的な侵入戦略であり、同グループはAdvanced IP Scannerなどの偵察ツールを展開してネットワーク構成を把握し、価値の高いターゲットを特定します。
グループはActive Directory構造を調査し、ドメイン管理者、エンタープライズ管理者、itgateadminのようなカスタム権限グループに注目します。
また、1.batというバッチスクリプトを使用してドメインインフラ全体で60以上のユーザーアカウントを一括列挙します。
「彼らは、標準の管理者グループやVMwareのような仮想化特有のグループを含むローカルグループを照会することで、物理・仮想インフラ両方への横展開を準備していることを示すなど、広範な環境認識を示しました」とトレンドマイクロは述べています。
最初はAll.exeとThrottleBlood.sysを併用して検知を回避しようとしましたが、脅威アクターはエンドポイント保護機構を詳細に調査し、特定のセキュリティ制御に合わせて手法を調整しました。
PowerRun.exeツールを利用して権限昇格を悪用し、セキュリティ関連のサービスやプロセスを無効化または終了させました。次に、主要なセキュリティエージェントコンポーネントを無力化するため、カスタマイズされたAllpatch2.exeツールを導入しました。
横展開のためにPsExecを活用し、認証やリモートアクセスプロトコルを管理する重要なレジストリ設定を変更することで、セキュリティ制御を体系的に弱体化させました。
持続的なコマンド&コントロール(C&C)アクセスを維持するため、脅威アクターはAnyDeskを利用し、Nmapをダウンロード・インストール・実行して内部ネットワーク全体のスキャンによる状況認識を拡大しました。
データはファイル転送ツールWinSCPを通じて流出され、ランサムウェアはドメインのNETLOGON共有全体に展開されました。ペイロードは自動サンドボックス解析を回避するためパスワード保護されていました。さらに、バックアップ、データベース、セキュリティプロセスに関連する主要サービスの終了も試み、影響を最大化しています。
これらの意図的にカスタマイズされた回避技術により、エンドポイントセキュリティソリューションをすり抜けることで、企業はより高いリスクにさらされています。
「カスタム回避技術は、検知されない侵害の可能性を高め、滞留時間の長期化やデータ流出、業務妨害を招きます」とTechInsightsのアナリスト、Manish Rawat氏は述べています。「これにより、より標的を絞った高インパクトな攻撃が可能となり、財務・評判・規制面でのリスクが増大します。攻撃者はベンダーのドキュメントを研究し、汎用的な防御を回避する手法を作り上げ、全体的な脅威の高度化を招いています。セキュリティチームはアラートの増加や、微妙な脅威と無害な活動の区別という運用上の負担に直面しています。」
高リスク産業が主要な標的に
攻撃は17カ国に広がっており、タイと米国が主な標的で、次いでベネズエラとインドが続きます。The Gentlemenランサムウェアグループの被害者数はすでに27件に上り、主な標的は製造業と建設業、次いで医療、保険などが挙げられます。
「これらのセクターは、業務上のプレッシャーが高く、データの機密性も高いため、主要な標的となっています」とAnkura Consultingのシニアマネージングディレクター、Amit Jaju氏は述べています。「製造業や建設業はダウンタイムに対する許容度が低いため、OTシステムの復旧のために支払いに応じやすい傾向があります。一方、医療分野は貴重な保護医療情報を保有しており、患者の安全リスクが迅速な対応を迫ります。保険業は数千社分のリスクデータを集約しており、非常に価値の高いデータリポジトリとなっています。」
これらの業界は、広範な業務規模、高価値データ、複雑なネットワーク環境を持ち、脅威に対してサイバーセキュリティのリソースが不足しがちです。「多くのベンダー、共有認証情報、リモートアクセスを伴う複雑なサプライチェーンは、広範な攻撃対象領域を生み出します。さらに、工場や支店ではIT人員が少ないのが一般的です」とEIIRTrend & Pareekh ConsultingのCEO、Pareekh Jain氏は述べています。
従来型の防御だけでは不十分
ランサムウェアアクターが防御を回避するためにますます適応的になっている中、専門家は従来型のエンドポイント保護だけではもはや十分でないと認めています。CISOは多層的なレジリエンスに注力し、ゼロトラストや最小権限アクセスを強調して横展開を制限する必要があります。
「高度なEDR/XDRソリューションによる行動監視が不可欠であり、静的なシグネチャだけでは不十分です。積極的な脅威ハンティングと脅威インテリジェンスの組み合わせが、侵入やランサムウェアツールの初期兆候を検知するのに役立ちます」とRawat氏は述べています。厳格なベンダー管理とパッチ管理は悪用可能な脆弱性を減らし、定期的なインシデントシミュレーションや机上演習は対応力を高め、セキュリティの死角を明らかにします。
Jaju氏によれば、CISOはネットワークの可視化とセグメンテーションの実現に注力すべきです。NDRツールを導入して横展開を検知し、ネットワークを積極的に分割することで、侵害を封じ込め、攻撃者がOTシステムやバックアップなど重要資産に到達するのを防ぐ必要があります。
ニュースレターを購読する
編集部からあなたの受信箱へ
下にメールアドレスを入力して開始してください。