プレイランサムウェアの検出：米国、南アメリカ、ヨーロッパの企業および重要インフラに対する継続的なランサムウェア攻撃

2023年11月末、主要な米国のサイバーセキュリティ機関は、国際的なパートナーと協力して、 LockBit 3.0 ランサムウェア攻撃 をカバーする警告を発行しました。これは、サイバーセキュリティ意識を高めることを目的とした#StopRansomwareキャンペーンの一環です。最近、別の共同サイバーセキュリティ勧告が発表され、Playランサムウェアグループによる継続的な攻撃について防御者に通知されました。この警告では、AA23-352A、FBI、CISA、オーストラリア信号局のオーストラリアサイバーセキュリティセンター（ASDのACSC）は、Playランサムウェアオペレーターの悪意のある活動について説明しており、少なくとも300のエンティティが彼らのターゲット攻撃によって妥協されていると信じています。

Playランサムウェア攻撃の検出

ランサムウェアオペレーターによるより高度な戦術、技術、手順が活用される中で、サイバーセキュリティの専門家は、敵を迅速に捉えて攻撃を早期に検出するための信頼できる検出コンテンツを必要としています。SOC Prime Platform for collective cyber defenseは、Playランサムウェアのメインテナと悪意のある活動を特定するのに役立つ検出アルゴリズムのセットを集約しています。 

Playランサムウェア検出に特化した20のシグマルールのコレクションは、28のSIEM、EDR、EDR、およびデータレイクソリューションと互換性があります。すべてのルールは MITRE ATT&CK®フレームワーク にマッピングされ、CTIリンク、攻撃タイムライン、トリアージ推奨事項などの豊富なメタデータで強化されています。下の Explore Detections ボタンをクリックして、脅威調査を効率化するためのキュレーションされた検出セットを詳しく調べてください。 

Explore Detections

さらに、防御者は ProxyNotShellの 検出アルゴリズムにも依存できます。この脆弱性は、Microsoft Exchange ServerのCVE-2022-41040 and CVE-2022-41082)で利用され、

Playランサムウェアの攻撃解析

2023年12月18日に、 FBI、CISA、およびASDのACSCが新しい警告を発表しました。これはPlayランサムウェアグループ（Playcryptとも呼ばれる）による進行中の攻撃作戦をカバーしています。  covering the ongoing offensive operations by the Play ransomware group, also known as Playcrypt. 

2022年夏以降、Playcryptランサムウェアオペレーターは、米国、南米、ヨーロッパ中の多数の企業および重要なインフラをターゲットにしています。2023年10月、FBIはこのグループのランサムウェア攻撃によって約300のエンティティが被害を受けたことを明らかにしました。オーストラリアでは、Playランサムウェアは2023年春の中頃に最初に確認されました。

Playランサムウェアグループは、ダブル恐喝モデルを採用する非常に秘密主義の攻撃部隊に属しています。敵対者はシステムを暗号化し、身代金要求の前にデータを流出させます。後者は直接の支払いガイドラインを提供しません。Playランサムウェアオペレーターは、被害者に電子メールで連絡するよう促すことで、より隠密なコミュニケーションを好みます。身代金の支払いは暗号通貨で要求され、Playの関係者によって指定されたウォレットアドレスに送られる必要があります。被害者が身代金の支払いを拒否した場合、敵対者はTorネットワーク上のリークサイトで流出データを公開すると脅します。

緩和策として、防御者には、多要素認証の導入、データのオフラインバックアップの定期的な作成、包括的な回復計画の策定、システムおよびソフトウェアの常に最新の状態の維持、定期パッチの適用などのベストセキュリティプラクティスに従うことを推奨します。

Playランサムウェアオペレーターは一般に、正当なアカウントを悪用し、公開されたインスタンスの脆弱性を武器にすることで初期アクセスを取得します。特に、FortiOS（CVE-2018-13379およびCVE-2020-12812）および ProxyNotShell の脆弱性が対象です。また、RDPおよびVPNを初期アクセス段階で利用します。 

検出回避のために、PlayランサムウェアグループはAdFindユーティリティとGrixba情報スティーラー、PowerToolを使用してウイルス対策ソフトウェアを無効にし、ログファイルを削除します。さらなる横移動とファイル実行のために、Cobalt StrikeやSystemBCなどのC2アプリケーション、PsExecのようなユーティリティを活用します。そして、 Mimikatz credential dumper to acquire domain administrator access.

資格情報ダンパーを利用して、ドメイン管理者アクセスを取得します。 Playランサムウェアグループに起因する増加する巧妙な攻撃は、防御部隊が脅威を優先して軽減するために、超高応答性を要求します。SOC Prime Platformにログインし、 900以上の検出コンテンツをプロアクティブなサイバー防御のためにチームに装備して、あらゆる巧妙さのランサムウェア攻撃に備えてください。