セキュリティ専門家は、イランのランサムウェアグループが強化された回避、実行、および反フォレンジック機能を備えて戻ってきたと警告しています。
以前はテヘランとの関連性があり、通常はレジームの利益に合致した被害者をターゲットにしていたPay2Keyは、2020年以来活動しています。
しかし、HalcyonとBeazley Securityの新しいレポートは、「最近の米国とイランの緊張がグループの活動を加速させたようだ」と警告しています。
レポートは、進化するTTPのセットを示すと思われる米国のヘルスケアプロバイダーへの新しい攻撃を分析しました。
Pay2Keyの詳細を読む:疑惑のイランのランサムウェアグループがイスラエルの企業をターゲットに
グループが初期アクセスブローカーからアクセスを購入したのか、被害者自身に対して偵察を実行したのかは明らかではありません。しかし、ネットワークにフットホールドを持つと、アクターはTeamViewerを使用して「対話的アクセス」を確立し、その後Mimikatz、LaZagne、およびExtPasswordを使用してラテラルムーブメント用のパスワードを収集し始めました。
レポートによると、その後、彼らは「Advanced IP Scanner」とns.exe(NetScanと推定される)を使用してホストを見つけ、認証情報を検証しました。
「脅迫行為者は収集された認証情報を使用してシステム間をピボットし、組み込みのAD「ユーザーとコンピュータ」コンソールであるdsa.mscを介してActive Directoryと対話しました。これは、アクセスが異常または疑わしいものとして自動的にフラグが立てられるのを防ぐためだと考えられます」と述べています。
「これはランサムウェア展開と組み合わせて使用されるアカウントを特定し、また被害者ホスト上のバックアップ関連ソフトウェアの各種にアクセスするために使用されたと信じています。列挙されたバックアップシステムには、IBackup、Barracuda Yosemite、およびWindows Server Backupが含まれます。」
ランサムウェアの実行は、自己抽出型7zipアーカイブ(SFX)、abc.exeを通じて実行されました。これは以前のキャンペーンと一致しています。インフラストラクチャ全体の暗号化にはわずか3時間かかりました。
グループはまた、「No Defender」回避ツールキットを展開し、その後、足跡を隠すために削除しました。
データ流出の証拠はありませんでした。レポートの著者は、「グループによる証拠の意図的な破壊による可能性がある」と主張しました。
イランとのリンクに関する疑問
この攻撃は、去年のイラン対米ミサイル攻撃と同時期のMorphisecが分析した以前のキャンペーンに続くものです。2025年7月以降、グループは170人の被害者に関連する800万ドル以上の身代金を受け取っています。
これはPay2Keyが、その国を含む地政学的緊張の時期に攻撃が激化するイラン関連の作戦のままであることを示唆している可能性がありますが、確実ではありません。
「2025年後半の事業全体の売却試み、および犯罪フォーラム上のロシア語話者の脅迫行為者との観察された関係を組み合わせると、グループのRaaS プラットフォームの現在の所有権、運用管理、および将来の軌跡に関する未解決の疑問が生じます」と、Halcyonレポートは述べています。
所有権がどうであれ、ネットワーク防御者はそれがもたらす脅威を認識すべきであると、レポートは結論付けています。
「グループは戦略的影響のための被害者環境の破壊よりも恐喝と経済的利益を優先することを常に見せているわけではありません」と、それは述べています。
「防御者は、これらの調査結果をPay2Keyが、その戦術と目的が継続的な監視とセキュリティコミュニティ全体でのプロアクティブなインテリジェンス共有を保証する、活発で予測不可能で政治的に動機付けられた脅威であり続けることを明確に示しています。」
翻訳元: https://www.infosecurity-magazine.com/news/iranlinked-pay2key-ransomware/
