ランサムウェア運営者は身を隠すために戦術を変更しています。2026年3月に観測された最近の攻撃では、Symantecが追跡するTrigonaのランサムウェアグループ(Rhantusとして追跡)のアフィリエイトが、RcloneやMegaSyncなどの人気のある既製ユーティリティの使用を放棄しました。
代わりに、これらの攻撃者は被害者データを盗むためにカスタム開発されたデータ流出ツールを展開しました。この戦略的転換は、サイバー犯罪者が広く知られている公開ツールを簡単にフラグする防御ソリューションを回避するための独有マルウェアに投資する傾向の増加を浮き彫りにしています。
2022年後半にRansomware-as-a-Service(RaaS)事業として最初に出現したTrigonaは大幅に成熟しています。歴史的に、RaaSアフィリエイトは迅速な展開を目指して標準的なツールキットを好みます。しかし、この転換はより高い技術的成熟度を持つ攻撃者を示唆しています。
カスタムアップローダーは高度な機能を示し、速度、効率、ステルスのために特別に設計された機能を提供しています。
すべてのファイルを無分別に取得するのではなく、このツールはオペレーターが高価値資産を選別的に標的にすることを可能にします。ある観測されたケースでは、攻撃者は特にネットワークドライブに保存されている請求書と機密PDFドキュメントを含むフォルダーを探していました。
彼らは署名ベースの検出と一般的なデータ流出動作を探すヒューリスティックモニターを回避し、セキュリティ研究者が発見して分析するまで、攻撃者に重大な利点を与えます。
データを流出させる前に、Trigonaアフィリエイトはエンドポイント保護を無効化するための積極的な措置を講じています。攻撃者はHuorong Network Security SuiteツールであるHRSwordをカーネルドライバーサービスとして展開しています。
カーネルレベルで動作することにより、これらの脅威アクターは標準的なユーザーモード保護を回避し、セキュリティソフトウェアを効果的に終了することができます。
この防御回避をサポートするために、攻撃者はPowerRun経由で昇格した権限を使用して、さまざまな専門ツールを実行しています。彼らは感染したマシンへのリモートアクセスを取得するためにAnyDeskも利用しています。
これらの成熟した脅威から身を守るために、組織は不正なリモートアクセスツールと異常なカーネルドライバーのインストールを監視する必要があります。
最新の保護アップデートと詳細な軽減戦略については、セキュリティチームは認定されたSymantec Protection Bulletinに相談する必要があります。
翻訳元: https://cyberpress.org/ransomware-hackers-steal-data/