反撥するスコーピウス: 新たなRaaSグループがCicada3301ランサムウェアの亜種を積極的に配布

ランサムウェアは引き続き組織にとって主要なグローバル脅威であり、攻撃はますます頻繁かつ高度になっています。最近では、新しいランサムウェア・アズ・ア・サービス（RaaS）グループであるリペレント・スコーピウスが登場し、サイバー防御者にとっての課題をより深刻にしています。この新たなアクターは、Cicada3301ランサムウェアの配布を推進し、ダブル・エクストーション戦術を駆使して利益を最大化しつつ、アフィリエイトネットワークを拡大しています。

Cicada3301 ランサムウェア検出

ここ数ヶ月、急増したランサムウェア攻撃があり、その原因としては、 Zola and BlackSuite などの新しい亜種の出現、 Akiraの活動増加、そして Black Bastaの再興が挙げられます。そして「夏の熱」に加えて、2024年5月にリペレント・スコーピウスが登場し、新たに出現したCicada3301ランサムウェアを投入しました。

リペレント・スコーピウスの攻撃を先んじて探知し、Cicada3301ランサムウェア感染の可能性を事前に特定するために、セキュリティプロフェッショナルは SOC Prime プラットフォーム を活用し、集合サイバー防御を提供するために、AIを活用した検出エンジニアリング、脅威ハンティング、自動化された脅威検出のための完全な製品スイートに伴う専用Sigmaルールセットに依存することができます。以下のボタンをクリックすれば、Cicada3301感染に関連する悪意のある活動を検出するための関連ルールコレクションに即座に詳細を掘り下げることができます。

Cicada3301を検出するためのSigmaルール

リペレント・スコーピウスの戦術、技術、手順（TTPs）に対応するさらなるSigmaルールを求めるサイバー防御者は、 Threat Detection Marketplaceで「Repellent Scorpius」タグを閲覧したり、単に以下のボタンをクリックしてアクセスすることができます。

リペレント・スコーピウス TTPを検出するためのSigmaルール

これらのルールは、30以上のSIEM、EDR、およびデータレイクプラットフォームと互換性があり、 MITRE ATT&CKフレームワークにマッピングされています。さらに、すべての検出は、攻撃タイムライン、脅威インテリジェンス参照、およびトリアージ推奨事項を含む広範なメタデータで強化されています。

関係する妥協指標（IOC）を即座に探すために、 Palo Alto Networks Unit42の研究に記載されている場合、セキュリティエンジニアは Uncoder AIを使用することができます。これは、IOCをシームレスに解析し、それらを選択したSIEMまたはEDRで実行可能なカスタムハンティングクエリに変換するIOCパッケージャーとして機能するプロフェッショナルな検出エンジニアリングIDE＆コ・パイロットです。

Cicada3301ランサムウェア攻撃の分析

最近の レポート によると、Palo Alto Networks Unit 42が、被害者のリストを積極的に拡大している新たなランサムウェア・アズ・ア・サービスグループの出現を明らかにしました。リペレント・スコーピウスと名付けられたこのグループは、2024年5月に活発な活動を開始し、Cicada3301ランサムウェアを世界中に配信しています。

最近の立ち上げにもかかわらず、リペレント・スコーピウスはアフィリエイトプログラムを設置し、最初のアクセスブローカー（IAB）やネットワーク侵入者をロシア語のサイバー犯罪フォーラムで積極的に採用することで急速に足場を築いています。このグループの起源は現在不明ですが、ロシア語を話すアフィリエイトへのフォーカスとCIS諸国をターゲットにしないことは、このグループのルーツを示唆しているかもしれません。

Unit42が2024年5月から6月にかけてグループの活動を監視している間、Cicada3301とは無関係の過去の妥協事件へのつながりも特定されています。これは、グループが以前に別の名で活動していたか、他のランサムウェアアクターからデータを取得した可能性があることを示唆しています。特に、Cicada3301は現在廃止された BlackCat（ALPHVとしても知られる） の作戦と著しい類似点を持っています。

リペレント・スコーピウスは、最初のアクセスを奪うために盗まれた資格情報を活用し、それらを購入するIABに依存しています。さらに、攻撃者は正当なPsExecツールを使用して、ターゲットネットワーク内の複数のホストに対してランサムウェアペイロードを実行します。データのエクスフィルトレーションには、オープンソースのRcloneユーティリティが使用されます。興味深いことに、エクスフィルトレーションに使用されたパブリックIPアドレスは、過去にBashful Scorpius（Nokoyawaとも呼ばれる）やAmbitious Scorpius（ALPHV/BlackCatとも呼ばれる）を含む他のランサムウェアコレクティブによって既に利用されており、リペレント・スコーピウスとBlackCatの関連性を再び強調しています。

Cicada3301のペイロード自体はRustで書かれており、ChaCha20を使用して暗号化を実行します。ランサムウェアの亜種は、WindowsとLinux/ESXiの両者をターゲットにすることができます。

トレンドの増加とより高度な浸透を背景に、ランサムウェアは2021年以来、多くの組織にとって最も重要な課題となっています。大規模な企業を含む。 SOC Primeの完全製品スイート を使用することで、AIを活用した検出エンジニアリング、自動化された脅威ハンティング＆検出スタック検証を提供し、防御者は浸透のリスクを最小限にし、セキュリティ投資の価値を最大化することができます。