出典:Ivan Tsyrkunovich via Alamy Stock Photo
研究者たちは、少なくとも2020年以来静かに実行されている可能性のある、低額で大量のランサムウェアキャンペーンを発見しました。
いわゆる「ビッグゲームハンター」(自分たちが見つけられる最大の組織を攻撃する脅威アクター)は、彼らの功績をニュースサイトに掲載させるのに問題がありません。小さなゲームを狙うことについてはあまり聞くことがありません。なぜなら、ターゲットが一般の関心を引く程度が低く、関連するお金も魅力的でないからです。
ただし、両方のモデルが攻撃者に有利に機能しているように見えます。より大きなランサムウェアアクターは注目から利益を得ます。なぜなら、それにより恐怖と信頼に基づく「ブランド」を構築できるからです。そして、より小さなアクターは注目を逃れ、主流のサイバーセキュリティコミュニティの視線の外で活動し、残りかすから静かに富を積み重ねています。
今週のAcronisのレポートは、より小さな市場での漁から利益を得たと思われるサイバー攻撃キャンペーンを文書化しました。それはトルコに限定されており、その戦略は簡単です:修正された商用マルウェアを使用して、個人および中小企業(SMB)を数百ドル単位で大規模に恐喝することです。
「大規模なエンタープライズ攻撃はメディアの注目と法執行圧力を引き付ける傾向があるのに対し、より小さなインシデントはしばしば報告されず、キャンペーンがより長く続き、中断が少なくなります」とAcronisの脅威研究ユニット(TRU)のチームリーダーであるSantiago Pontiroli氏は説明しています。そして、それはより小さなモデルが持つ唯一の利点には程遠いものです。
トルコのSMBに対するランサムウェア
このキャンペーンに使用されるフィッシングフローはほとんど興味深くありません。おそらくそうである必要がないからです。ターゲットはメールを受け取り、クラウドホストされたファイルへのリンクをたどり、そこに含まれる悪質なJavaアーカイブを見つけます。このステップのシーケンスは、高度なアンチフィッシング防御によって中断される可能性は低いです。
最後のマルウェアはAdwind RATのカスタム変種であり、ほぼ15年前のJavaリモートアクセストロイの木馬(RAT)です。このバリアントは、スタートアップ時に実行するように登録することで初期コマンド・アンド・コントロール(C2)と永続性を確立し、一連のチェックを実行します。
まず最初に、最も厳密には、マルウェアはその被害者がトルコに位置していることと、彼らのコンピュータの言語設定がトルコ語に設定されていることを確認します。これにより、攻撃者は自分たちが最も精通している被害者に焦点を当てることができ、彼らの攻撃が不要な注意を引く可能性がある他の地域に流出するのを防ぐことができます。ジオフェンシングチェックの後、マルウェアはMicrosoft Defenderを無効にし、他のアンチウイルスソフトウェアをチェックし、Windowsアップデートをブロックし、画面上のセキュリティ通知を抑制し、データ復旧のあらゆる手段を排除することで、被害者のシステムを弱める試みをします。
これらのトリックのいずれも特に新しい、または洗練されていませんが、それらは保護されていない小さなターゲットに対して大いに役立ちます。「小規模キャンペーンは難難化、多態性、モジュール型ペイロード配信、匿名通信などの高度な技術を組み込むことができます。JanaWareは、低価値キャンペーンが小規模な経済規模で運営しながら、比較的成熟した技術基盤を維持できることを示しています」とPontiroli氏は述べています。
舞台を設定した後、修正されたAdwind RATはその最終的なペイロードを引き出します:「JanaWare」と呼ばれるランサムウェアプラグイン、および一般的な身代金メモです。研究者たちは200ドルから400ドルの範囲の身代金要求を観察しました。
SMB:簡単な獲物
それは今日のランサムウェア市場では少しに聞こえるかもしれませんが、Pontiroli氏が説明するように、「フィッシングなどのスケーラブルな技術を使用してより小さな被害者を侵害する方が簡単であり、彼らはより弱い防御を持つ傾向があり、彼らはしばしばより迅速に支払う可能性が高いです。少数の大きなターゲットに大きく投資する代わりに、アクターはより多くの小さなターゲットを低い身代金要求で攻撃することで安定した収益を生み出すことができます。」
「同時に、影響を過小評価してはいけません。より小さなエンティティを標的にする場合でも、特にそれらの組織がサプライチェーンの一部であるか、他にサービスを提供する場合、下流の影響がある可能性があります。その意味で、大量で低価値のランサムウェアは、比較的控えめな要求にもかかわらず、より広い混乱を引き起こすことができます」と彼は言います。
過去6年間でJanaWareの被害者になった可能性のある人や企業の数は不明です。小規模攻撃の非常の性質の一部のため。研究者は、より大きな組織が持つのと同じテレメトリを、より小さな組織や個人の間で持っていません。そして、トルコのほとんどの一般的な人々は積極的にマルウェアサンプルをVirusTotalにアップロードしようとはしません。
その結果、Pontiroli氏は、サイバーセキュリティコミュニティはランサムウェアシーンが実際にどのようなものであるかの歪んだ画像を得ると主張しています。「ランサムウェア活動の大部分は実際により小さな組織に集中しています」と彼は述べ、Verizonの2025年「Data Breach Investigations Report」(DBIR)を指しており、ランサムウェアはSMBブリーチインシデントの88%に存在し、より大きな組織ではわずか39%であることを示しています。
「高名なエンタープライズ攻撃はその規模、影響、および開示要件のため見出しを支配する傾向がありますが、より小さな組織に影響を与えるインシデントはしばしば過小報告され、静かに解決されます」とPontiroli氏は説明します。「その結果、一般的な見方は大きなケースに歪んでいます。ただし、ランサムウェア活動の相当な部分がこのより低価値で大量のエンド市場で動作しています。」
最新のDark Reading Confidentialポッドキャスト「Security Bosses Are All in on AI: Here’s Why」をお見逃しなく。Reddit CISO Frederick LeeおよびOmdiaアナリストDave Gruberは、SOCでのAIと機械学習、成功した導入がどのようにされたか(またはされていないか)、およびAIセキュリティ製品の将来について議論しています。今すぐお聴きください!
翻訳元: https://www.darkreading.com/cyberattacks-data-breaches/6-year-ransomware-campaign-turkish-homes-smbs
