>
Insiktレポート

RansomHubは、マルチOS機能と高い手数料率でアフィリエイトを引き付けます

投稿: 2024年6月20日
作成者 : Insikt Group®

insikt-group-logo-updated-3-300x48.png

2024 年 2 月に登場した 新しいランサムウェア アズ ア サービス (RaaS) プラットフォームである RansomHub は、Go および C++ で記述されたマルウェアで Windows、Linux、および ESXi システムを標的としました。 その高い90%の手数料率は、ベテランのアフィリエイトを引き付け、感染の急増につながります。 RansomHub の関連会社は、主に IT セクターを標的として、18 か国の 45 人の被害者に影響を与えました。 このランサムウェアは、クラウドストレージのバックアップと設定ミスのあるAmazon S3インスタンスを利用して、被害者を恐喝します。 Insikt Groupは、ALPHVおよびKnight Ransomwareとコードが重複していることを特定し、潜在的な関連性を示唆しています。 組織には、即時および長期的なセキュリティ対策が推奨されます。

RansomHubは、マルチOS機能と高い手数料率でアフィリエイトを引き付けます

RansomHub は、2024 年 2 月上旬に最初に宣伝された新しいランサムウェア as a Service (RaaS) です。 RansomHub は、アンダーグラウンド フォーラム Ramp で「koley」という名前のユーザーによって最初に宣伝されましたが、Go と C++ で記述された汎用性の高いマルウェアにより、すぐに注目を集めました。 このランサムウェアは、Windows、Linux、およびESXiシステムを標的としており、潜在的な被害者の範囲を大幅に拡大する機能です。 このようなマルチOSの標的化は、さまざまなオペレーティングシステムを攻撃するように設計されたマルウェアが2022年から2023年の間に7倍に増加したという、より広範な傾向と一致しています。

RansomHub はアフィリエイトに 90% の手数料率を提供しており、これは RaaS 市場で見られる典型的な 80 〜 90% の範囲の上限です。 この有利なレートは、他のプラットフォームからベテランのアフィリエイトを引き付ける可能性が高く、RansomHub関連の感染と被害者の急増につながります。

RansomHubは、サービス開始以来、18か国で45人の被害者を主張しており、ITセクターが最も頻繁に標的にされています。 このパターンは、RansomHubのアフィリエイトが「大物狩り」に従事していることを示唆しており、攻撃者は、運用上のダウンタイムによる深刻な財務的影響により、多額の身代金を支払う可能性が高い価値の高いターゲットに焦点を当てています。

注目すべきインシデントの 1 つは、RansomHub の関連会社が 、設定ミスのある Amazon S3 インスタンス を利用して、主要なターゲットだけでなく、同じバックアップ プロバイダーを使用している他のクライアントのバックアップにもアクセスしたことです。 この戦術により、彼らはクライアントデータを漏洩すると脅迫し、プロバイダーとそのクライアントとの間の信頼関係を悪用して、バックアップソリューションプロバイダーを恐喝することができました。 最近、RansomHubは、米国を拠点とするヘルスケアテクノロジー企業であるChangeHealthcareから盗まれた4TBのデータを販売したことで注目を集めました。

Insikt Groupの分析により、RansomHubと ALPHV(BlackCat) やKnightRansomwareなどの他のランサムウェアグループとの間でコードが重複していることが明らかになりました。 これらの類似性は、これらのグループ間のつながりや共有リソースの可能性を示唆しています。 パスワードを使用して埋め込まれた構成を復号化する RansomHub の戦略により、脅威研究者がマルウェアを動的に分析することは困難です。

RansomHub の ESXi バージョンは、 /tmp/app.pid という名前のファイルを作成して、複数のインスタンスが同時に実行されるのを防ぐという独自の戦術を採用しています。 このファイルを変更すると、ランサムウェアの運用が停止し、影響を受けるシステムに対する潜在的な緩和戦略が提示されます。

軽減策

Insikt Groupは、環境内のRansomHubランサムウェアファイルの存在または実行を検出するために使用できるYARAおよびSigmaルールを作成しました。 これらのルールは、ESXi、Linux、および Windows のバリアントを対象としています。 さらに、アナリストは、仮想マシン (VM) の停止、シャドウ コピーの削除、インターネット インフォメーション サービス (IIS) サービスの停止のために RansomHub が使用するコマンド ライン呼び出しをエンドポイント ログで検索できます。

  • powershell.exe -Command PowerShell -Command ""Get-VM |stop-vm -force""
  • cmd.exe /c iisreset.exe /stop
  • powershell.exe -Command PowerShell -Command ""Get-CimInstance Win32_ShadowCopy |Remove-CimInstance""

上記の検出に加えて、 ランサムウェア感染のリスクを効果的に減らす ために、次の一般的な推奨事項に従う必要があります

  • ネットワーク分離: ネットワークをセグメント化して、ランサムウェアの水平移動を制限します。
  • SIEMの場合: セキュリティ情報とイベント管理を実装して、ログと検出を一元化します。
  • エンドポイント検出: エンドポイント検出と応答 (EDR) サービスを YARA ルールと Sigma ルールと共に使用します。
  • 最小特権アクセス: リモート アクセス サービスの最小特権アクセスと多要素認証を実装します。
  • データのバックアップと復元: 定期的にデータをバックアップし、バックアップをオフラインまたは分離されたセグメントに保存します。
  • ソリューションプロバイダーの評価: プロバイダーと協力して、一貫したシステム監査を実現します。
  • パッチ管理: すべてのアプリケーションとオペレーティングシステムを最新のパッチとアップデートで最新の状態に保ちます。
  • 記録された将来の狩猟パッケージ: Recorded Future Hunting Packages にあるような YARA ルールと Sigma ルールを実装して、シグネチャベースの検出またはエンドポイントベースの検出用の Snort ルールでマルウェアを識別します。

分析全文を読むには、ここをクリックしてレポートをPDF形式でダウンロードしてください。

関連