Torベースの新しいリークサイト「ALP-001」は、ネットワークのフットホルド販売から公開的な被害者名指しへと静かにシフトしており、純粋な初期アクセス仲介業から本格的なサイバー恐喝への進化を示唆しています。
ALP-001サイトはTor経由でのみアクセス可能で、「データリーク/アクセスマーケット」として広告されており、ランサムウェアリークポータルと従来型のアクセスショップの両方の特徴が混在しています。
グループが公開的に名指しした最初の被害者は、フランスの農業・緑地用電池式機器メーカーであるペレンク社で、報告されている収益は約5億4,300万ドル、228GBのデータが危機にさらされていると言われています。
リークポストではペレンク社のフランスのペルティウス市での所在地を説明しており、2026年4月上旬の支払い期限を設定しています。これはデータ露出を使用して被害者に圧力をかけるという一般的なダブルエクストーション戦略に沿ったものです。
脅威研究者たちはALP-001のオペレータを長年活動している初期アクセスブローカー(IAB)にリンクさせました。このブローカーはExploitやDarkForumsなどのアンダーグラウンドフォーラムで活動しており、歴史的には「アルファグループ」や「DGJTグループ」などの別名で活動していました。
この帰属は、フォーラムの販売スレッドと新しいリークサイト全体で再利用された重複するToxおよびSessionコンタクトIDに基づいており、同じフランスの製造組織のマッチングリストもあります。
2026年1月、このブローカーは収益が約5億4,300万ドルの大まかなフランスの工業会社に対する高い権限を持つ企業アクセスを宣伝していました。これは現在、ALP-001の最初のTorリーク被害者エントリとして表示されており、ブローカーペルソナと新興データ恐喝ブランド間の繋がりを強化しています。
アクセス販売から恐喝へ
初期アクセスブローカーは伝統的にアップストリーム供給者として機能し、境界インフラストラクチャを侵害してから、有効な認証情報またはリモートエントリポイントを他の脅威アクターに再販売します。これにはランサムウェアクルーが含まれます。
ALP-001では、同じアクターがダウンストリームバイヤーのみに依存するのではなく、独自のデータリークサイトを運営することで価値チェーンを統合しています。
このシフトは、アクセスブローカーとアフィリエイトが各侵害からより多くの利益を獲得するために、スタンドアロンのランサムウェアまたはデータ恐喝グループに変換される、より広いサイバー犯罪エコシステムのトレンドを反映しています。
ALP-001のオペレータはエスクロー支援の取引を使用してフォーラムでの評判を確立していますが、大規模なデータセットを一貫して流出・キュレーションする能力は、初期アクセスを侵害・現金化するスキルほど明確ではありません。
利用可能なリストと以前のフォーラムアクティビティは、グループが侵害された境界テクノロジーとリモートアクセスゲートウェイの現金化に特化していることを示しています。
一般的に悪用されるエントリポイントには露出したSSHサーバーの他、Fortinet、Cisco、Citrix(RDWebデプロイメントを含む)、Palo Alto NetworksのGlobalProtectなどのベンダーのVPNおよびリモートアクセスアプライアンスが含まれます。
これらのサービスはIABにとって魅力的です。なぜなら、ネットワークエッジに直接座っており、管理インターフェースをインターネットに露出させることが多く、認証情報スタッフィング、ブルートフォース、盗まれたインフォスティーラーログ、またはパッチが当たっていない脆弱性を通じて悪用される可能性があるからです。
内部に入ると、ブローカーは通常、新しい管理者アカウントやバックドアVPNプロファイルなどの永続的なアクセスを確立してから、環境の詳細をパッケージ化して販売するか、ALP-001の場合は直接恐喝の対象にします。
脅威見通し
ALP-001の出現は、実証済みのアクセスブローカー技術とランサムウェアの高圧戦術を組み合わせた成熟した作戦を示唆しています。
ペレンク社のリストは、定義された期限と構造化された被害者説明を備えており、グループが公開データ公開の大規模な証拠がまだ限定的であっても、古典的なランサムウェアスタイルの晒しを実験していることを示しています。
より多くのリークが観察されるまで、防御者はALP-001を完全に確立されたデータ盗難専門家というよりも、拡大する恐喝野心を持つ高品質のアクセスブローカーとして主に扱うべきです。組織の防御措置
防御者は、露出されたエッジサービスまたはリモートアクセスゲートウェイが既にIABのインベントリにある可能性があると想定し、それに応じて行動する必要があります。
Fortinet、Cisco、Citrix/RDWeb、GlobalProtect、またはインターネット向きのFTP/SSHサービスを実行している組織は、設定を即座に監査し、最新のセキュリティパッチを適用し、可能な限りネットワークレベルのコントロールでアクセスを制限する必要があります。
セキュリティチームはまた、売却されたアクセスに関連する永続化メカニズムを追跡する必要があります。これには異常なVPNログイン、見知らぬ管理者アカウント、および再販売のためのステージング化を示す可能性のあるFTPまたはSCPを通じた異常なアウトバウンド転送が含まれます。
このコンテキストではアイデンティティセキュリティが重要です。なぜなら、ALP-001の中核商品は機能する認証情報だからです。
すべてのリモートアクセスパスに多要素認証を実施し、条件付きアクセスポリシーを厳しくし、特権付きアカウントの積極的なレビューを実施することで、盗まれたログインの価値を大幅に削減できます。
最後に、アンダーグラウンドフォーラムと新興データリークサイトの継続的な監視は、組織またはその主要なサプライヤーの1つがIABカタログに表示されるか、ALP-001のようなグループにリンクされたTorベースの恐喝ポータルに表示される場合、早期警告を提供できます。
翻訳元: https://gbhackers.com/new-leak-site-tied/
