ヘルキャットランサムウェア攻撃の検知：多様なハイプロファイル組織をグローバルに狙う新たなランサムウェア・アズ・ア・サービス脅威グループ

ランサムウェアは依然としてトップクラスのサイバーセキュリティ脅威であり、攻撃コストは1件あたり273万ドルに急騰しています。これは2023年と比べて100万ドル以上高く、Sophosによると報告されています。ランサムウェアの操作が複雑化するにつれ、新しい脅威グループが引き続き出現し、大規模な財務利益を求めています。その一つが、新たに特定されたグループであるHellcatです。 Ransomware-as-a-Service (RaaS) という脅威グループで、2024年末に初めて発見されました。

Hellcatはさまざまな業界を越えて高名な侵入を行い、国の重要インフラ、大企業、政府機関を標的にして急速に名をあげています。同グループは、Schneider Electric、Telefónica、Pinger、イスラエルのKnessetへの攻撃の責任を既に認めています。先週、Orange Groupは、そのルーマニア事業においてHellcatアフィリエイトが数千の内部ファイルをリークし、従業員記録を含むセキュリティ侵害を受けたことを確認しました。

Hellcatランサムウェアグループの攻撃検知

Cybersecurity Venturesの予測によれば、2031年までにランサムウェア攻撃は2秒ごとに発生するようになり、サイバーディフェンダーにとっての積極的な検知が不可欠となります。新たに出現したHellcatランサムウェアグループは新たな脅威を呈しており、この不穏な傾向をさらに強化しています。潜在的な侵入を早期段階で見つけるために、 SOC Prime プラットフォーム はリアルタイムの脅威インテリジェンスと関連検知ルールのグローバルアクティブ脅威フィードを提供し、脅威ハンティングの自動化、AIによる検知エンジニアリング、高度な脅威検知のための完全な製品スイートに支えられています。

「 検知を探索する 」ボタンを押下すると、Hellcatランサムウェア攻撃を対象にした専用ルールスタックにすぐにアクセスできます。すべてのルールは複数のSIEM、EDR、データレイクソリューションと互換性があり、 MITRE ATT&CKフレームワークにマッピングされています。さらに、各ルールには、 脅威インテル の参照、攻撃タイムライン、トリアージ推奨事項などを含む豊富なメタデータが付加されています。

検知を探索する

ランサムウェア攻撃を網羅する更なる検知コンテンツを求めるセキュリティ専門家は、調査をサポートするために「Ransomware」タグでThreat Detection Marketplaceを検索するかもしれません。

また、セキュリティ専門家は Uncoder AI、検知エンジニアリング用の業界初のAIコパイロットを利用し、 Bridewellリサーチ が提供するHellcatランサムウェアの侵害指標を即座に探し出すことができます。Uncoder AIはIOCパッケージャとして機能し、サイバーディフェンダーがIOCを容易に解釈し、カスタマイズされたハンティングクエリを生成することを可能にします。これらのクエリは、好みのSIEMまたはEDRシステムにシームレスに統合され、即座に実行できます。

Hellcatランサムウェア攻撃の分析

2024年12月末、新たなRansomware-as-a-Service集団Hellcatとして活動を始めたことをセキュリティ研究者が確認しました。グループの正式な結成以前は、HellcatのメンバーはDellやCapGeminiを含む著名なIT企業への個別の攻撃を行っていました。後に、2024年第4四半期にはイスラエルのKnessetやSchneider Electric、Telefónicaなど高名な組織を標的にして共同で活動を開始しました。

Hellcatのオペレーターは、主にフィッシングや公開されているアプリケーションの脆弱性を悪用して初期アクセスを得るための洗練された技術を駆使しています。侵入後は、複雑なPowerShell感染チェーンを実装し、持続性を維持し、セキュリティ防御を回避し、コマンドアンドコントロールチャネルを確立して、SliverC2マルウェアのインストールと実行を促進します。

According to the Bridewellによるリサーチ によれば、Hellcatグループは高いレベルの運用セキュリティを示しており、活動をマスクするためにTOX、Session、暗号化されたハードドライブ、エアギャップシステム、匿名VPS、MullvadVPN、XMPPなどのさまざまな安全通信ツールを使用しています。攻撃内でのこれらの手法の具体的な使用は不明であるが、検知を回避するためのグループの規律と専門性を示しています。さらに、Hellcatはカスタムランサムウェアペイロードを使用してデータを暗号化し、カスタムスクリプトやLiving-off-the-Land (LotL) バイナリを利用して目立たないように行動します。彼らのユニークなデータすり抜け戦術は、SFTPやクラウドサービスを活用しており、サイバー侵入に対する洗練されたアプローチをさらに強調しています。

特筆すべきは、HellcatとMorpheusが使用するランサムウェアペイロードに重要な重複があり、同様の身代金要求文も両グループと、Underground Teamによって共有されているとセキュリティ専門家は明かしました。SentinelOneのアナリストは、HellcatとMorpheusのペイロードの中に非常に似たコードを 特定しましたが 、これが協働を示すのか、共有されたソースコードなのかは不明です。両方のペイロードはVirusTotal上で類似の特性を示しますが、この重複が協調を意味するのか、共通テンプレートを使用しているかを示す十分な証拠はありません。

先週、Hellcatランサムウェアグループのメンバーは、主にOrangeのルーマニア支部からの何千もの内部文書の窃取を発表しました。 Orangeはこの侵害を確認 し、クリティカルではないアプリケーションで発生したことを認識し、その影響を最小限にするために積極的に調査を進めています。

洗練されたランサムウェア攻撃や新たな脅威を事前に防ぐために、セキュリティチームは SOC Prime プラットフォーム を活用した集団的なサイバー防御に依存できます。将来に備えたサイバーセキュリティ戦略を構築するためのエンタープライズ対応の製品スイートを提供します。個々の研究者は、新しいSoloサブスクリプションでSOC Primeプラットフォームへの個人的なアクセスを得ることもできます。「 Threat Detection Marketplace Solo 」を利用して、グローバルな脅威フィード、特化したインテル、および広範なSigmaルールライブラリを得る、または「 Uncoder AI Solo 」を検知エンジニアリングのためのプライベートIDEとコパイロットとして使用することができます。現在、Stripeを使用した即時購入で年間プランの50%割引が利用可能です。