TokyoBlackHatNews

darkreading.com 4分で読了

イランが「疑似ランサムウェア」を展開、Pay2Keyオペレーションを復活

Image

出典: Muhammad Toqueer via Shutterstock

イランはロシアのサイバー犯罪者を採用し、米国とイスラエルとの継続的な戦争で地政学的目標を達成するために、国家と犯罪的なサイバー活動の境界線を曖昧にする他の創造的なパートナーシップに従事している。

これらの活動の一環として、これらの活動、イランはロシアのサイバー犯罪フォーラムからアフィリエイトを採用することにより、イラン国家が支援するランサムウェアオペレーションであるPay2Keyを再び復活させたと、今週発表されたKELAのサイバーインテリジェンスセンターからのレポートによる。イランはPay2Keyを「イラン国家の懲罰的な腕」として使用し、「高影響度の米国ターゲット」を攻撃していると、レポートによる。

この戦略には、「疑似ランサムウェア」攻撃の展開と、初期アクセスブローカー(IAB)として機能して、ランサムウェアグループが米国エンティティをサイバー混乱と経済的利益のためにターゲットすることが含まれる。KELA研究者は、疑似ランサムウェア攻撃は暗号化を使用するが、実際にはワイパーマルウェアに典型的な破壊的活動であることを説明した。

これらの最近の動きは、イランがサイバー犯罪技術を兵器化し、2月28日の米国とイスラエルの共同攻撃で始まった現在の戦争で利点を獲得するために犯罪的ハッカーを採用するための大規模な戦略の一部である、KELAによる。これらの活動―そして国家と犯罪活動の間の線をどのように曖昧にするか―は、業務の混乱を引き起こすだけでなく、重大な法的および運用上のリスクをもたらす「帰属の悪夢」を引き起こすことによって、組織に独自の脅威をもたらす、KELAによる

「会社がランサムウェアまたは恐喝イベントの被害者になった場合、真の脅威アクターを特定することはもはやIT問題ではなく、重大なコンプライアンス問題である」とレポートによる。実際、被害者は身代金の支払いが不注意に国家にリンクされたエンティティに行く場合、制裁違反および深刻な法的および経済的ペナルティのリスクがある。例えば米国財務省の外国資産管理局(OFAC)による制裁下にあるもの。

過去と現在のサイバー戦争戦略

Pay2Keyアクティビティの再出現は、昨年6月の12日間のイランに対する紛争の後、去年の7月に起こったことに似ている。当時、米国とイスラエルはイランの核施設をターゲットにして破壊した。その時、Pay2Keyはイランの地政学的目標を満たす攻撃に対してより高い支払いを提供するために西洋の組織をターゲットにするために再出現した。

イランは現在、オンラインで採用するPay2Keyアフィリエイトとの同様の利益共有に従事しており、イランの指定された「敵」―つまり米国とイスラエル―に対する攻撃を正常に実行した場合、アフィリエイトのカットを70%から80%に増加させている。

「この報奨制度は混合脅威を完璧に示している:イランは地政学的報復をグローバルサイバー犯罪才能プールに効果的にアウトソースし、その国家オペレーションのための強力でスケーラブルな戦力倍増を作成している」、KELAレポートは述べた。

同時に、イランはデータ破壊、破壊行為、または政治的報復を偽装するためにランサムウェアスタイルの暗号化を活用する破壊的なスモークスクリーンの形で新しいサイバートリックを持っている。これらの攻撃では、イランが支援するAPTAgriusが、元のデータワイパー形式から改造されてランサムウェアバリアントとして機能するApostleマルウェアを使用している。

「破壊的なワイパーを経済的恐喝の装いでラップすることにより、アクターは地政学的動機を曖昧にし、インシデント対応を複雑にすることができる」とKELAによると。

ぼやけた攻撃線が求める新しい防御

KELA研究者は、進行中の紛争は「脅威の状況を根本的に変更した」と述べ、イランの国家が支援するサイバー戦争と日和見的なサイバー犯罪の間の線の意図的なぼかしにつながったと述べた。実際、イランは戦争が始まって以来、そのサイバー攻撃をかなり強化している。それは物理的な戦場より敵に対してより多くの利点があるアリーナである。

「純粋に破壊的またはハッキビスト活動をスポンサーする同じ国家装置は、サイバー犯罪地下と深く絡み合っている」とレポートによると。

このパラダイムシフトはまた、防御者にとっての変化を示している。防御者は現在、基礎的な復元力対策を積極的な管理と一緒に実装することで、財政的、運用上、および地政学的リスクを同時に説明しなければならない、KELAはレポートで述べた。

推奨される防御措置には、エッジデバイスのパッチと監視、フィッシング耐性MFAの実装、およびオフラインバックアップとインシデント対応の準備の維持などの一般的な対策が含まれている。

組織はまた、IT とオペレーショナルテクノロジー(OT)システムをセグメント化し、アクセス管理を強化すべきである。これはイランが支援するアクターからの複雑さが増す脅威から防御するためである。脅威インテリジェンス監視を維持することはまた、敵のインフラストラクチャと侵害された認証情報マーケットへの組織の可視性を大幅に改善することができる、KELAによると。

翻訳元: https://www.darkreading.com/threat-intelligence/iran-pseudo-ransomware-pay2key-operations

ソース: darkreading.com
#APT #Pay2Key #イラン #サイバー戦争 #サイバー攻撃 #ランサムウェア #ワイパーマルウェア #初期アクセスブローカー #地政学的脅威 #脅威インテリジェンス

関連記事

Zoom CISO Sandra McLeod:AIはセキュリティの「役割代替者」ではなく「実現者」

FBIが警告したフィッシングキット「Kali365」、標的範囲をさらに拡大

DriveSurge:数千サイトを乗っ取り、ClickFixとFakeUpdate攻撃を展開