Rhysidaの裏をかく：高度な脅威インテリジェンスが重要なインフラストラクチャをランサムウェアから保護する方法

概要

2023 年初頭に初めて活動を開始したRhysidaランサムウェアは、エクスプロイト後の活動に多層インフラストラクチャとCleanUpLoaderを採用しています。Insikt Groupは、Recorded FutureのNetwork Intelligenceを使用して、Rhysidaの被害者が公共の恐喝サイトに現れる平均30日前に特定し、ランサムウェアの展開を防ぎ、被害を軽減するための重要な期間を提供しました。このインフラストラクチャには、タイポスクワットされたドメイン、SEO ポイズニング、抽出後の活動のための C2 インフラストラクチャが含まれます。CleanUpLoaderは、通常、ソフトウェアインストーラーを装い、Rhysidaによるデータの抽出と永続化を支援します。Rhysidaは医療や教育などの分野を特にターゲットにしており、WindowsベースとLinuxベースの両方のシステムに重点を置いています。

RhysidaランサムウェアがCleanUpLoaderを使用してシステムに侵入

Rhysidaのような高度なランサムウェアグループは、世界中の組織に大きな影響を与えています。このグループは2023年1月から活動しており、戦術を継続的に進化させています。Rhysidaは、CleanUpLoaderを悪用してシステムに侵入し、最終的には重大な損害を与えることが目的であることが確認されています。

この詳細な分析では、Rhysidaが多層インフラストラクチャとCleanUpLoaderを使用してランサムウェア攻撃を実行する方法と、Recorded FutureのNetwork Intelligenceが早期検出にいかに重要であるかについて詳しく説明します。

Rhysidaの攻撃戦略

最近の多くのランサムウェアグループと同様に、Rhysidaは多層インフラストラクチャを使用して攻撃を実行します。Recorded FutureのNetwork Intelligenceの支援を受けたInsikt Groupの最新の分析では、Rhysidaが攻撃の初期段階を実行するためにインフラストラクチャをどのように使用しているかが明らかになりました。

Rhysidaは、人気のあるソフトウェアのダウンロードサイトに似たタイポスクワットドメインを作成することで、ユーザーを騙して感染したファイルをダウンロードさせます。この手法は、SEOポイズニングと組み合わせると特に効果的です。SEOポイズニングでは、これらのドメインが検索エンジンの結果で上位にランクされ、正規のダウンロード元として表示されます。ユーザーがこれらの悪意のあるドメインのいずれかをクリックすると、CleanUpLoaderをホストするペイロードサーバーにリダイレクトされ、このペイロードサーバーが悪用後のフェーズで攻撃者によって使用されます。

CleanUpLoader

CleanUpLoaderは、Rhysidaが攻撃キャンペーンで使用する汎用性の高いバックドアマルウェアです。このマルウェアは主に、Microsoft TeamsやGoogle Chromeなどの人気ソフトウェアの偽のインストーラーとして配信されたため、ターゲットが知らずにインストールしてしまう可能性が高くなります。CleanUploaderは永続性を促進するだけでなく、ランサムウェアが展開される前にRhysidaを使用する攻撃者が貴重なデータを盗み出すことを可能にします。

CleanUpLoaderは構成に複数のC2ドメインを組み込むことで冗長性を確保し、1つのC2サーバーがオフラインになった場合でも操作を維持できるようにします。このバックドアは、HTTPS経由でコマンド&コントロール（C2）サーバーと通信します。

Rhysidaの被害者像

Rhysidaランサムウェアの運用はグローバルに展開しており、政府や公共部門が主な標的となっており、幅広いセクターに影響を及ぼしています。これらのセクターは、機密性の高いデータと、しばしばセキュリティ対策が不十分なため、特に脆弱です。

注目を集めた侵害には、2023年にロンドンのエドワード7世病院が攻撃された件があり、Rhysidaは同病院のスタッフや英国王室の構成員を含む患者の機密情報を盗んだと主張しています。さらに、チリ軍とコロンバス市への攻撃は、Rhysidaが重要な公共部門のインフラに侵入する能力を持っていることを示しています。

このグループに際立つ特徴には、学校や病院など、これまでランサムウェアグループが攻撃を仕掛けることができなかった分野を積極的に攻撃している点があります。これは、ランサムウェアの倫理における大きな変化を表しており、現代の脅威アクターによるより冷酷なアプローチを示しています。

Recorded Futureの早期検出

Recorded FutureのNetwork Intelligenceの早期検出機能は、ランサムウェアとの戦いにおけるゲームチェンジャーであることが証明されています。Insikt Groupは、公開恐喝サイトに現れる平均30日前にRhysidaの被害者を検出できる可能性があることを確認しました。タイポスクワッティングドメインやCleanUploader C2サーバーを含むRhysidaのインフラストラクチャを監視することで、こうした検出が可能になりました。

最初の感染からランサムウェアの展開までの平均滞留時間は、防御側が対応するための重要な時間を提供します。ネットワーク通信やその他の侵害の兆候（IoC）を早期に特定することで、セキュリティチームは、攻撃者がデータを暗号化したり身代金を要求したりする前に、迅速に行動して脅威を無効化できます。

プロアクティブな防御：重要なポイント

Rhysidaの活動が高度であることを踏まえると、このようなランサムウェアに対する防御には、積極的かつインテリジェンス主導のアプローチが必要です。Recorded FutureのNetwork Intelligenceは、ランサムウェアグループのインフラストラクチャを可視化し、防御側に攻撃者のツール、戦術、手順に関する重要な洞察を提供します。

Rhysidaに対する主な防御戦略は次のとおりです。

高度な脅威検出：脅威を特定して対応するために、侵害の早期兆候と検出ルールを使用してカスタムファイルをスキャンし、ログで検出します。

Network Intelligence：Recorded FutureのNetwork Intelligenceを活用して、Insikt Groupによるプロアクティブなインフラストラクチャ検出と広範なネットワークトラフィック分析を使用し、ランサムウェアのエスカレーションを早期に検出し、ランサムウェアのエスカレーションを防ぎます。

ユーザートレーニング：悪意のあるダウンロードは依然として主な感染経路であるため、従業員への教育が必要です。パッチ管理：既知の脆弱性の悪用を防ぐために、すべてのシステムが最新のセキュリティパッチで更新されていることを確認してください。

バックアップ：ランサムウェアの影響を軽減するために、重要なデータを定期的にバックアップし、それらのバックアップが安全に、できればオフラインで保存するようにしてください。

今後の展望

Rhysidaランサムウェアは、CleanUpLoaderを使用することで非常に効果的かつ検出が困難な動作を実現し、業界全体に大きな脅威をもたらします。しかし、Recorded FutureのNetwork Intelligenceが提供するような早期検出方法を使えば、セキュリティチームはランサムウェアが展開されるかなり前に被害者を特定し、重要な利点を得ることができます。

ランサムウェアの脅威は進化し続けているため、組織を壊滅的な攻撃から守るためには、攻撃者のインフラストラクチャを積極的に監視し、包括的なインテリジェンスソリューションを使用することが不可欠です。Rhysidaの手口を理解することで、セキュリティチームは、このランサムウェアやその他の高度なランサムウェアファミリーの影響を軽減するために、より効果的な防御戦略を実施することができます。

分析全文を読むには、ここをクリックしてレポートをPDF形式でダウンロードしてください。