新しいレポートによると、米国の医療機関が2月下旬に、イラン政府との関係を持つイランのランサムウェア集団に標的にされました。
Beazley Securityのインシデント対応チームは、名前が明かされていない医療機関が2020年以降イラン関係者によって様々な目的で使用されているPay2Keyランサムウェアを含む攻撃に対処するのを支援しました。
Halcyon Ransomware Research Centerが調査に協力し、ランサムウェアの改善により検出がより困難になり、より破壊的になったことが判明しました。
インシデント対応者は、侵害中にデータが流出した証拠がないことを発見しました。これは米国の情報機関が以前述べたPay2Key攻撃が主に情報窃取を目的に実施されていたという事実を考えると、異例の展開です。
研究者らは、Pay2Keyが米国とイラン間の最近の軍事紛争後に活動を増加させたことを指摘しました。Halcyonの専門家は、このグループが「常に恐喝と金銭的利益を優先するわけではなく、戦略的影響のための被害者環境の破壊を優先する」と述べました。
「このパターンは、典型的な金銭主導型のランサムウェア操作をはるかに超えた動機を示唆しています」と彼らは述べました。
Halcyonのランサムウェア研究センターの上級副大統領であるシンシア・カイザーは、ランサムウェア攻撃がイランとの軍事紛争の開始と同時に発生したように見えると述べましたが、このインシデントの動機に疑問を呈しました。
「グループは混乱に乗じてただ金を稼ごうとしているのでしょうか?このグループは政府のために活動することもありますが、常にそうではありません」と述べたカイザーは、以前FBI サイバー部門の副次官補を務めていました。
インシデントの調査により、ハッカーがランサムウェアを展開して環境を暗号化する数日前に、被害者のネットワーク上の管理アカウントを侵害していたことが明らかになりました。
インシデント対応者はまた、ハッカーが暗号化後にすべての活動とイベントログの痕跡をクリアしようとしたことを発見しました。
標的範囲の拡大
Halcyonは、Pay2Keyが昨年以降混乱の時期を経験しているとしています。夏の間、ロシアのサイバー犯罪フォーラムで積極的に宣伝し、事業全体を0.15BTCで売却することを申し出る一方で、アフィリエイトの勧誘も積極的に行っていました。
2025年7月、このグループは内部規則を変更し、アフィリエイトに以前の70%ではなく身代金の80%を提供することを申し出ました。少なくともロシアのセキュリティ企業は、このグループがロシア企業を標的にし始めたと主張しました。
カイザーは、グループがイランの軍事紛争と歩調を合わせて主に攻撃を実施していることを考えると、この売却の可能性は煙幕である可能性が高いと述べました。しかし、Halcyonは、グループとロシアのサイバー犯罪集団との潜在的な関係が、「グループのRaaS プラットフォームの現在の所有権、運用管理、および将来の方向性に関する未解決の問題」を引き起こしていることを指摘しました。
この混乱にもかかわらず、Pay2Keyは依然として成功した攻撃を実施していました。サイバーセキュリティ企業Morphisecは、2025年の夏の4ヶ月間にグループへの51件の身代金支払いを追跡し、総額は約400万ドルに達しました。それ以来、このグループは170人の被害者を標的にし、身代金支払いで800万ドルを獲得しています。
このグループは2020年に出現し、ブロックチェーン研究者がイスラエルの被害者からの複数の身代金支払いがExcoinoを通じてルーティングされていることを発見しました。Excoinoはイランの国籍証明書を必要とするイランの暗号通貨取引所です。
2024年の米国アドバイザリーは、Pay2Keyが他のランサムウェアギャングと協調し、米国、イスラエル、アゼルバイジャン、アラブ首長国連邦の組織を標的にしたと述べています。
「つまり、イラン政府の運営とも一貫しており、その傍らで収入を得ています」とカイザーはインタビューで述べました。
専門家は、米国とイランの間の敵対行為が始まった時点で、サイバー攻撃が紛争の重要な要素となると警告していました。
米国の医療企業への攻撃は、米国の医療機器企業Strykerに関わる注目を集めたインシデントの前に発生しました。Handalaとして知られる別のイラングループによって実行されたその攻撃は、ハッカーが20万台の企業デバイスを削除した際に広範な混乱を引き起こしました。
カイザーは、一般の人々は他のイランのサイバー攻撃が発生していると仮定すべきだが、公開されていないと述べました。Strykerへの攻撃のような広範な影響を持つ攻撃は、公開の場から隠すことはできないと彼女は説明しました。
「一部の攻撃はより限定的な影響を持つ可能性があるため、それについて大きな報道がないかもしれませんが、イランが目標を探し、何ができるかを追求していると想定する必要があります」と彼女は述べました。「そして、私の予測では、ワイパー攻撃、ランサムウェア攻撃、およびパッチが適用されていない脆弱性を通じた重要インフラへの標的化の組み合わせです。」
翻訳元: https://therecord.media/iran-linked-ransomware-gang-targeted-us-healthcare-org
