Crypto24ランサムウェア検知：ハッカーが正規ツールとカスタムマルウェアで大企業を秘かに攻撃

ランサムウェアは依然として最も深刻なサイバー脅威のひとつです。2025年のVerizon Data Breach Investigations Report（DBIR）によると、侵害の44%で観測されており、前年の32%から増加しています。比較的新しい攻撃者グループであるCrypto24 Ransomware Groupは、米国、ヨーロッパ、アジアの大規模組織を標的とし、カスタムツールを使用してセキュリティ防御を回避し、データを窃取し、侵害ネットワーク上のファイルを暗号化しています。

Crypto24ランサムウェア攻撃の検知

Cybersecurity Venturesは、2031年までに2秒ごとにランサムウェア攻撃が発生する可能性があると警告しており、強力かつプロアクティブな脅威検知の重要性がこれまで以上に高まっています。ランサムウェアの運用は進化を続け、より高度化し、大企業から中小企業まであらゆる規模の組織を標的にしています。 

SOC Primeプラットフォームに登録し、Crypto24ランサムウェアのような潜在的な脅威を可能な限り早期に検知してください。本プラットフォームは、タイムリーな脅威インテリジェンスと実用的な検知コンテンツを提供し、AI駆動の検知エンジニアリング、自動化された脅威ハンティング、高度な脅威検知を実現する完全な製品スイートを備えています。以下のExplore Detectionsボタンをクリックして、Crypto24ランサムウェア活動を特定・対応するために設計された検知ルールのキュレーションされたスタックにアクセスできます。

Explore Detections

すべてのルールは複数のSIEM、EDR、データレイクソリューションと互換性があり、MITRE ATT&CK®フレームワークにマッピングされています。さらに各ルールには、脅威インテリジェンスの参照、攻撃タイムライン、トリアージ推奨事項などの詳細なメタデータが含まれています。

オプションとして、セキュリティ担当者は「Ransomware」タグを適用することで、世界中のランサムウェア攻撃を対象とした幅広い検知ルールにアクセスできます。

さらに、セキュリティ専門家はUncoder AIを活用して脅威調査を効率化できます。これは、Threat-Informed Detection EngineeringのためのプライベートIDEかつ共同作業支援ツールであり、生データから検知アルゴリズムを生成し、高速IOCスイープを実行し、ATT&CKタグを予測し、AIによる最適化ヒントでクエリコードを改善し、複数のSIEM、EDR、データレイク言語に変換できます。たとえば、防御者はTrend MicroによるCrypto24ランサムウェア活動の調査に基づいたAttack Flowを即座に可視化できます。 

Crypto24ランサムウェアグループ分析

Crypto24ランサムウェアグループは、2024年初秋にサイバー脅威の状況に登場しました。攻撃者はアジア、ヨーロッパ、米国の組織を標的とし、主に金融、製造、エンターテインメント、テクノロジー分野に焦点を当てています。 

同グループのオペレーションには、権限の高いアカウント作成やスケジュールされたタスクを利用した持続性の確保が含まれており、悪意ある活動を通常のシステム操作に偽装します。また、カスタムEDR回避ユーティリティを利用し、セキュリティソリューションを操作して検知を回避します。データ窃取と監視は、キーロガー、Google Driveを用いたデータ流出、持続的なリモートアクセスによって行われます。 

Trend Microの報告によると、Crypto24は高い調整性を持つキャンペーンを展開しており、オフピーク時間に攻撃を行うことで可視性を下げ、被害を最大化しています。最近の活動は大企業やハイプロファイルな企業を対象としており、その規模と高度な攻撃は、財務的および運用的資産を持つ組織を意図的に狙っていることを示しています。

Crypto24は、正規ツールとカスタムマルウェアを組み合わせ、さらに高度な検知回避技術を駆使する非常に洗練されたツールキットを使用しています。横展開にはPSExec、持続的アクセスにはAnyDesk、認証情報窃取にはキーロガー、バックドア、そしてデータ流出にはGoogle Driveを利用しています。 

初期アクセス獲得後、Crypto24ランサムウェアの攻撃チェーンには、デフォルトアカウントの再有効化、新しい特権ユーザーの作成、net.exe、sc.exe、runas.exeなどのWindowsユーティリティの利用による持続性確保、RDPアクセスの有効化、ペイロード展開が含まれます。偵察活動はバッチファイルやWMICコマンドを介して実行され、システム、ハードウェア、アカウントデータを収集して横展開を計画します。

持続性はスケジュールされたタスク、悪意あるサービス、パッチが当てられたDLL（例：複数のRDPセッションを許可するtermsrv.dll）によって強化されます。攻撃者はキーロガー（WinMainSvc.dll）を導入して認証情報を盗み、Google Driveを利用してデータを流出させ、TightVNCをインストールしてリモート制御を行います。

防御回避のため、Crypto24はカスタマイズされたRealBlindingEDRを利用し、gpscript.exeを悪用して正規のTrend Vision Oneアンインストーラーを実行し、保護を無効化してからランサムウェアペイロードを展開します。アンインストーラー自体は脆弱性ではありませんが、攻撃者は侵害後に管理者権限を取得した上でこれを利用し、“Living off the Land”戦術を適用しています。 

Crypto24ランサムウェアキャンペーンは、現代の脅威アクターの運用上の高度化と適応力を示しています。正規のITツール、LOLBins、カスタムマルウェア、高度な回避技術を戦略的に組み合わせることで、攻撃者は初期アクセスを獲得し、横展開を実行し、標的環境内に持続的な足場を築きます。Crypto24の対策として、組織はアカウントとアクセス制御を強化し、RDPやリモートツールをMFA付きで認可されたシステムに限定し、Windowsユーティリティの異常使用、新規サービスやタスクを監視する必要があります。さらに重要なのは、ゼロトラスト原則の実装、バックアップ監査、データ流出の監視、フィッシングや認証リスクに関するユーザー教育を、堅牢なインシデント対応戦略の一環として行うことです。SOC Primeの完全な製品スイートを活用することで、AI、自動化、リアルタイム脅威インテリジェンス、ゼロトラスト基盤により、組織はCrypto24ランサムウェアやその他の高度化する脅威に対抗できます。