ランサムウェアは、コンピュータのファイルシステムを暗号化するように設計されたサイバーセキュリティ攻撃であり、サイバー犯罪者は、解読キーを提供するためにリソースを要求します。
しかし、サイバー犯罪者に贖金を支払うことは問題を解決しません。現代のCISO/CIOは洗練されたランサムウェア攻撃に圧倒されています。ランサムウェア攻撃における簡単なファイル暗号化の伝統的な方法がなくなりました。今日のセキュリティアナリストとリーダーは、ビジネス操作を制御する犯罪団体とカスタマイズされた複雑な方法を使用する高度なサイバー犯罪者と戦っています。
Cactus ransomware は高度なサイバー攻撃です. Cactus ransomware が発見されて以来、世界を暴風雨で奪い、サイバーセキュリティのリスクとして世界的な影響を与えました。
Black Basta ransomware のいくつかの影響は次のとおりです。
- 2023年にビットコインで合計10700万ドルの脅威が報告され、その背後にある脅威グループはブラック・バスタでした。
- 北米だけがこの事件の主な攻撃を受け、その後ヨーロッパが18%を占めました。
- ブラック・バスタランサムウェアは、製造業、不動産、建設業界に最も影響を与え、2024年4月に報告された373件のランサムウェア事件のうち28件と関連付けられました。
- 米国機関、FBI、CISA、HHS、MS-ISACが共同で発表したサイバーセキュリティアドバイザーは、2024年11月のランサムウェアであるBlack Bastaが16の重要なセクターのうち12を攻撃したことを強調した。
- カスペルスキーの脅威レポートでは、ブラック・バスタランサムウェアは2023年に12番目に活発なランサムウェアファミリーの1つであり、2024年第1四半期に大幅な増加を見せた。
カクタスランサムウェアの主な特徴は二重の脅迫です。脅威の俳優は、支払い後に解読キーを提供しません。彼らはオンラインでそれを盗むことによりデータをエクスフィルタすることができます。しかし、カクタスランサムウェアの背後にある脅威の俳優は不明確です。セキュリティの擁護者は、マレーシアのハッキンググループからソースを持っていると考えています。
A Look at the Cactus Attack Chains
Cactus ransomware は、平均的なサイバー脅威ではありません。highly sophisticatedCactus ransomware 攻撃の背後にある脅威グループは、複数の段階の攻撃プロセスを用いて、ソーシャルエンジニアリング(偽の Microsoft Teams メッセージなど)、リモート アクセス ツール、およびカスタム ビルド マルウェア インプラントを組み合わせ、システムに侵入し、隠蔽します。
ターゲットシステムに侵入すると、脅威行為者はファイルをロックするだけではなく、ネットワークを移動し、特権を拡大し、最後の打撃:暗号化と脅迫のための準備を続けます。
最初の妥協として、ランサムウェアの脅威行為者はしばしば、VPNサービス、リモートデスクトッププロトコル、またはウェブアプリケーションなどの広く使用されているソフトウェアのパッチされていない脆弱性を悪用して、被害者のネットワークへの初期アクセスを獲得します。
IN THEEstablishing Persistence phase,一度内部に入ると、攻撃者は正当なリモート管理ツールまたはリモートアクセストロイのインプラントのような悪意のあるインプラントを展開します。これらのツールは継続的なアクセスを可能にし、検出を回避するのに役立ちます。攻撃者はしばしば、メモリダンプやウェブブラウザの認証を介して、ネットワーク内で特権を拡大し、拡散します。
一台のマシンへのアクセスを得た後、攻撃者は頻繁にネットワークスキャンツールを使用して、ネットワーク上の他の脆弱なデバイスを側面の動きとして特定します。ネットワークスキャンは、システムを横に移動し、より高い価値の標的にアクセスすることを可能にします。
Data Exfiltration (Double Extortion)
ファイル暗号化の前に、ランサムウェアグループは機密または貴重なデータを外部の場所(クラウドストレージ、コマンド&コントロールサーバー)にエクフィルタする。Advanced ransomware attacks use double extortion, in which cybercriminals put extra pressure on the victim to pay the ransom amount; otherwise, they can distribute the stolen data to public forums or the dark web.
A report by theISAグローバルサイバーセキュリティアライアンス(ISAGCA)現代の脅威行為者がサイバーセキュリティの脅威の風景に新たな攻撃拡散方法を用いるように進化し、ダブル脅威のランサムウェアは、2020年以来、タイトルを作った複雑な方法の1つです。
ファイルは通常、強力な暗号化アルゴリズムで暗号化され、ユニークなファイル拡張子で名前を変更し、リサイクルキーなしで復元を困難にします。いくつかのランサムウェア部族は、暗号化プロセスを加速するためにファイルの断片化やバッファ暗号化などの特定の技術を採用し、検出をより困難にします。救済メモ(しばしばテキストファイルまたはHTMLページ)が感染したシステムに落下し、暗号化で支払いを要求します。
ランサムウェアはしばしば、伝統的なセキュリティツールによる検出を回避するために、コードのフラッシュやパッキング(例えば、UPXまたはカスタムパッカー)などのテクニックを使用します。いくつかのランサムウェアは、それがサンドボックス環境で実行されているかどうかを検出するように設計されています。
セキュリティアナリストは、暗号化活動を示す突然の、異常なファイル拡張またはファイル再命名パターンを監視することができます。ある程度、外部IPとエクスフィルタまたは通信のために疑わしいネットワークトラフィックを追跡することは、ランサムウェアの活動を強調することができます。異常なコマンドの実行を検出すること、特に認証ダンピング、サイドモーションツール、またはリモートアクセスツールに関連するものは、鍵となる指標です。ディレクトリ内のリソースノートを作成するか、異常な拡張子を持つファイルの出現は、ランサムウェアの攻撃を示します。ランサムウェアは、しばしば暗号化中にシステムリソースの使用量(例えばCPU、ディスクIO)を上
Cactus's Tactics, Techniques, and Procedures (TTPs)
グループの活動は、サイバーセキュリティMITRE ATT&CKフレームワークの多くの既知の技術と一致しています。
- 最初のアクセス:フィッシング(T1566.003)、コラボレーションツールの濫用(T1199)
- 実行: 悪意のあるファイル実行 (.bpx archives) (T1204.002)
- 持続性: レジストリの変更(T1547.001)
- Privilege Escalation: DLL サイドロード(T1574.001)
- Defense Evasion: File Masquerading (T1036.005), disabling firewalls (T1562.004)
- サイド移動: WinRM と SMB (T1021.002, T1021.006)
- コマンド&コントロール: BackConnect インプラントで暗号化されたチャンネル(T1071.001, T1571)
- エクスフィルタリング: WinSCPファイル転送(T1105)
- 影響: ファイル暗号化(T1486)、解約ノート、および脅威
Final Thoughts
カクタスランサムウェアの攻撃を緩和し、対応するには、カクタス感染が検出されると、影響を受けたマシンをネットワークから隔離することは、さらなる拡散を防ぐために重要です。良い、孤立した、および最新のバックアップを持つことは回復に不可欠です。定期的なバックアップは、システムを返済することなく回復することができます。 攻撃後の法的分析を実行することで、攻撃ベクター、影響を受けたシステム、およびデータエクスフィルタリングの範囲を決定するのに役立ちます。 組織は警戒し、主要な指標を監視し、サイバーセキュリティの認識と応答計画を優先し、カクタスのような脅威を前に留めなければなりません。
ランサムウェア防衛の成功は、最先端のツールを展開することではなく、セキュリティ戦略の一環として適切なツールをより包括的に有効に使用することです。
