RansomHub検出：FBI、CISA、パートナーが重要インフラ組織を標的とする増大中のRaaS変種への警告を発表

イラン支援の共同サイバーセキュリティ勧告が防御者に警告を発している直後に Pioneer Kittenの複数のランサムウェアグループとの協力が行われる中、サイバースレットの状況に再びランサムウェア活動の急増が引き起こされ、話題を呼んでいます。FBI、CISA、およびパートナーは最近、RansomHub RaaSオペレーターの攻撃活動の増加をカバーする共同警告を発行しました。このグループは、サイバースレットアリーナの登場からわずか半年の間に少なくとも210の組織に侵入しています。 

RansomHub攻撃を検出

2024年にランサムウェアの蔓延が相変わらず続く中で、 ランサム要求は昨年比で5倍に増加しており, ランサムウェア 攻撃は、世界的な組織にとってますます高まる脅威になっています。最新の 共同警告AA24-242Aのリリースにより、RansomHubランサムウェアのパートナーによる攻撃を能動的に阻止する必要性が強調されました。SOC Primeプラットフォームは、セキュリティチームに文脈豊かな検出アルゴリズムを提供し、タイムリーにRansomHubの侵入を特定する手助けをします。 

クリックして 検出を探す ボタンで、カスタムタグを基にアラート識別子でフィルタリングされた関連SOCコンテンツのリストにアクセスできます。提供された検出スタック内のすべてのSigmaルールは、 MITRE ATT&CK®フレームワークに合わせて調整されており、アクショナブルなメタデータとカスタマイズされたCTIで強化され、複数のSIEM、EDR、Data Lakeソリューションで使用可能です。 

検出を探す

セキュリティエンジニアはまた、カスタムタグ“RansomHub”を使用して追加の検出を検索したり、RansomHubの敵対者が初期アクセスベクトルとして一般的に使用する既知の脆弱性に関連するエクスプロイト試みを検出する関連するSigmaルールを探索したりすることができます：

• CVE-2023-3519のエクスプロイト試みを検出するSigmaルール
• CVE-2023-27997のエクスプロイト試みを検出するSigmaルール
• CVE-2023-46604のエクスプロイト試みを検出するSigmaルール
• CVE-2023-22515のエクスプロイト試みを検出するSigmaルール
• CVE-2023-46747のエクスプロイト試みを検出するSigmaルール
• CVE-2023-48788のエクスプロイト試みを検出するSigmaルール
• CVE-2020-1472のエクスプロイト試みを検出するSigmaルール
  

セキュリティチームはまた、検出エンジニアリングを簡素化するためにSOC PrimeのAIコパイロットを活用して、脅威の研究とIOCマッチングを単純化できます。 Uncoder AIを使って、対応する勧告からIOCを検索するのが簡単です AA24-242A とRansomHub活動にリンクされています。防御者は、選択したSIEMまたはEDRインスタンスで実行可能なクエリに関連IOCをシームレスに変換できます。

RansomHub攻撃分析

2024年8月29日に、FBIとCISAは他の著者機関と連携して AA24-242A警告 を発表しました。これは、水および廃水、IT、医療、金融サービス、通信を含む、州機関や重要なインフラ組織に対する攻撃の増加に焦点を当てています。 これらの攻撃を裏で行っているRansomHubグループは、2024年2月の登場以来既に210以上の組織に攻撃を仕掛けています。RansomHubは、かつてCyclopsまたは Knightとして知られていましたが、他の悪名高いバージョンのランサムウェアからトップランサムウェアパートナーを引き寄せる効果的かつ成功したモデルになっています。 LockBit and ALPHV.

ランサムウェアの保守者はRaaSモデルの下で運営し、システムを暗号化してデータを抽出し、犠牲者に要求された身代金を支払わせるために二重恐喝方式を採用しています。暗号化の際に残されるランサムノートには、具体的な要求や支払い指示は通常記載されておらず、契約者IDを提供して被害者にTorネットワーク上のユニークな.onion URLを通じてランサムウェアグループに連絡するように指示します。被害者には通常、データが適告リークサイトに公開される前に90日が与えられています。

初期攻撃ベクトルとして、RansomHubの保守者は一般的にフィッシングメール、脆弱性のエクスプロイトを利用し、 CVE-2023-3519, CVE-2023-46604, CVE-2023-22515のような重要な欠陥やゼロデイを兵器化し、データ漏洩で侵害されたアカウントを対象とするパスワードスプレーを行います。敵対者は、ExploitDBやGitHubのような公的リソースからPoCエクスプロイトを入手します。 CVE-2020-1472, and password spraying, which targets accounts compromised in data breaches. Adversaries gain PoC exploits from public resources like ExploitDB or GitHub.

RansomHubのアクターは、AngryIPScanner、Nmap、PowerShellのようなツールを使用してネットワークをスキャンします。攻撃者はまた、ランサムウェア実行ファイルの名前を無害な名前に変更し、システムログをクリアし、ウィンドウズ管理インストゥルメンテーションを用いてウイルス対策ソフトウェアを無効化するなどの検出回避手法を適用します。場合によっては、カスタムユーティリティを使ってEDRツールも無効化します。持続性のために、ユーザーアカウントを作成または再活性化し、 Mimikatz を使って資格情報を収集し権限を昇格し、RDP、PsExec、Anydesk、およびCobalt Strikeや Metasploitのような各種C2ツールを用いてネットワークを横方向に移動します。RansomHubもまた、Curve 25519暗号化アルゴリズムのような高度な手法を用いてシステム上のファイルを暗号化し、ターゲットとされた組織ごとにユニークな公開鍵/秘密鍵ペアを使用しています。

RansomHub攻撃のリスクを最小限に抑えるため、著者機関は提供された #StopRansomwareガイドの推奨事項に従い、サイバー衛生を強化し、組織の既存のセキュリティコントロールを継続的にテスト・バリデートすることを勧めています。 SOC PrimeのAI駆動型の検出エンジニアリング、自動化脅威ハンティング、先進的な脅威検出のための完全な製品スイート に頼ることで、組織はどの規模や洗練度のランサムウェア攻撃やその他の現在または新たな脅威に対して積極的に防御を行い、強力なサイバーセキュリティ体制を構築することができます。