LeakNetとして知られるランサムウェアグループは、より多くの被害者を感染させるために攻撃方法を急速にアップグレードしています。以前は月平均3つのターゲットを対象としていましたが、現在はグループは他のハッカーから盗まれたネットワークアクセスを購入することから遠ざかっています。
代わりに、LeakNetは偽のエラー画面と、コンピュータのメモリで直接悪意のあるコードを実行する秘密裏の新しいツールを使用して、独自のキャンペーンを開始しています。
これらの新しい侵入方法にもかかわらず、ハッカーはネットワーク内に入ると常に同じ予測可能なステップを使用し、防御者にファイルが暗号化される前にそれらを止める明確な機会を与えます。
LeakNetの戦略における最初の大きな変化は、ClickFixの罠の使用です。これは、ハッカーが正規のウェブサイトを侵害し、虚偽のCloudflareTurnstileページなど、偽のセキュリティチェックを表示するソーシャルエンジニアリング的なトリックです。
ページは訪問ユーザーに悪意のあるコマンドをコンピュータの実行ダイアログにコピーして貼り付けるよう誘導します。
このアプローチにより、LeakNetは広い網を張ってウェブを閲覧している人を誰でもターゲットにでき、被害者あたりのコストを大幅に削減できます。独自のエントリーポイントを生成することで、攻撃者はダークウェブマーケットに価値のあるアカウントが現れるのを待つ必要をバイパスできます。
この「自分のランタイムを持ち込む」テクニックはハードドライブにほぼ証拠を残さず、従来のアンチウイルスソフトウェアが検出することは非常に困難です。
Denoローダーは感染したマシンに関する情報を収集し、攻撃者のサーバーに接触し、通常のファイルを保存せずに継続的にさらに悪意のあるコードを取得します。Denoは信頼できるツールであるため、標準的なセキュリティブロックリストはその活動を無視することがよくあります。
このステップに続いて、攻撃者は組み込みのWindowsコマンドを使用してアクティブなユーザー認証情報をシステムで確認します。これらの認証情報を使用して、標準的な管理ツールであるPsExecを使用してネットワークを横に移動します。
最後に、LeakNetはペイロードをステージングし、機密データを盗むために標準的なAmazon S3バケットを使用しています。標準的な管理ツールとクラウドサービスを悪用しているため、その動作は日常的なネットワークトラフィックにシームレスに溶け込みます。
これらの脅威から保護するために、防御者は既知の悪いファイルを探すだけでなく、疑わしい動作の監視に焦点を当てるべきです。
予測可能なパターンが現れるとすぐにマシンを隔離することで、組織はランサムウェアが展開される前に攻撃を中断できます。
翻訳元: https://cyberpress.org/clickfix-fuels-leaknet-ransomware/