「hastalamuerte」として知られるランサムウェアアフィリエイトが、The Gentlemenと呼ばれるグループについての作戦詳細を明かし、その戦術、技術、内部紛争に光を当てました。
3月19日に公表されたGroup-IBによる新しい調査は、ランサムウェア・アズ・ア・サービス(RaaS)グループの動作方法、インフラストラクチャ、攻撃方法、アフィリエイト関係を含む、稀有な洞察を提供しました。
このリークはまた、サイバー犯罪ネットワーク内の緊張の高まりを浮き彫りにしました。
The Gentlemen ランサムウェアグループ:概要
この調査は、「The Gentlemen」を、既存のRaaSエコシステム内のQilinとの紛争から生まれた、比較的新しいながら急速に進化しているランサムウェアグループとして識別しました。
経験豊富なアフィリエイトは、既存のツールとインフラストラクチャを使用して、このブランドを迅速に確立しました。このグループは二重恐喝モデルを採用しており、被害者データを暗号化し、それを公開すると脅迫することで、組織に支払いの圧力を高めています。
Group-IBは、このグループがWindows、Linux、ESXi環境を含む複数のプラットフォームを標的としていることを発見しました。
脆弱性またはブルートフォース攻撃による公開されたFortiGate VPNデバイスの体系的な悪用は、主要な初期アクセス方法のままです。内部に侵入すると、アフィリエイトは影響を最大化し身代金までの時間を短縮することを目的とした、自動化された横展開、認証情報の収集、バックアップの破壊、ドメイン全体の暗号化を展開します。
-
横展開のためのPowerShellおよびWindows Management Instrumentationの使用
-
攻撃後の痕跡を消去するためのフォレンジック対策ツールの展開
-
復旧を妨害するためのバックアップおよびセキュリティシステムの標的化
-
影響を最大化するためのクロスプラットフォーム暗号化
このグループはまた、エンドポイント検出およびアンチウイルスツールを無効化し、フォレンジック調査を複雑にするために、Bring Your Own Vulnerable Driver(BYOVD)と積極的なログ削除を含む、高度な防御回避方法も使用しています。
アフィリエイト間の緊張とより広い脅威環境
レポートはまた、RaaSモデル内の摩擦も強調しています。レンタルインフラストラクチャを使用して攻撃を実行するアフィリエイトは、紛争が発生すると、オペレーターを曝露することがあります。
この場合、「hastalamuerte」はグループの作戦についての洞察を公開で共有し、ランサムウェアパートナーシップへの稀有な可視性を提供しました。
RaaS作戦は近年大幅に拡大しており、正当なビジネスモデルに似た構造化されたアフィリエイトプログラムを採用するグループが増えています。これらのエコシステムにより、開発者は運用リスクの多くをアウトソーシングしながら、攻撃をスケールすることができます。
ランサムウェア・アズ・ア・サービスの脅威について詳しく読む:研究者が新しい「Vect」RaaS変種について警告
Group-IBは、The Gentlemenのようなグループの進化が、より特殊化および専門化されたサイバー犯罪への広範な傾向を反映していることを指摘しました。
高度な回避技術と柔軟な攻撃インフラストラクチャの組み合わせは、従来のセキュリティ対策に引き続き課題をもたらしています。同時に、内部の不安定性は破壊の機会を生む可能性があり、このような情報漏洩は、現代のランサムウェアキャンペーンがどのように組織化および実行されるかについてのより明確なビューを提供しています。
翻訳元: https://www.infosecurity-magazine.com/news/ransomware-affiliate-gentlemen/
