量子ランサムウェアとは何か?
目次:
クォンタムランサムウェア、2021年7月に発見されて以来、大きな注目を集めているストレインで、特に悪質で急速に進化するランサムウェアの一形態であることが証明されています。サイバーセキュリティの専門家がサイバー犯罪者の一歩先を行こうと努力する中、クォンタムランサムウェアの複雑さと潜在的な影響を理解することが不可欠です。それはのサブバリアントです マウントロッカーランサムウェア、AstroLockerやXingLockerとともに。これらの同様のストレインほど活発ではないが、親ストレインと同様に15万ドルから数百万ドルに及ぶ身代金要求があります。
クォンタムランサムウェアの最も顕著な特徴の1つは、その攻撃の速さです。被害者は通常、初期感染からファイルが暗号化されるまでに数時間しかありません。攻撃者はサプライズの要素を利用して、オフの時間中に頻繁に攻撃します。クォンタムグループには コンティのメンバーが含まれており、この悪名高いサイバー犯罪グループは最近、自発的にランサムウェア活動を閉鎖し、異なる動機と作戦計画を持つ他のランサムウェアサブグループの一部として再出現しました。
敵対者は、身代金交渉のために設計された運用TORプラットフォームと、「Quantum Blog」と名付けられたデータリークプラットフォームを設立しました。
昨年、クォンタムランサムウェアの主な標的はヘルスケア業界の役者でした。同グループは657のヘルスケアプロバイダーのネットワークに侵入し、190万人以上の被害者の個人情報を盗みました。
初期侵入方法の一部として、敵対者は IcedIDマルウェア (メールを介して配信)を利用してアクセスを得て、リモートコントロールのためにCobalt Strikeを活用しました。これが最終的に機密情報の不正取得とデータ暗号化のためのQuantum Lockerの実装をもたらしました。
クォンタムロッカーとは?
過去2年間で、Quantum Lockerランサムウェアは迅速で決定的な攻撃で悪名を高めており、セキュリティオペレーションセンターチームに対して効果的な対応措置を講じるためのわずかな時間しか与えていません。特定の状況下では、敵対者は攻撃からわずか4時間以内でランサムウェアを展開することに成功しています。
侵害の犠牲になった場合、ターゲットとされた企業と個人には、加害者と連絡を取るために72時間の限られた時間が与えられます。これに失敗すると、上記の記事で言及された公開ウェブサイトで盗まれたデータが無料で誰でもダウンロードできる状態になります。
暗号化プロセスを合理化するために、Quantumランサムウェアはデータベースサービスプロセスを識別して停止し、それらのアクセス制限を解除して貴重なデータベースコンテンツを暗号化できるようにします。Quantumの主要な暗号化手順では、 .dllまたは.exeの実行可能ファイルを使用し、対称ファイルの暗号化にChaCha20を、単一のChaCha20対称暗号化キーの暗号化にRSA-2048公開キーを使用するハイブリッド暗号スキームを採用しています。
初期アクセスとしてのIcedIDの使用
Quantumランサムウェアは、IcedIDや BumbleBeeローダーなどの初期段階のマルウェアを利用したターゲット型メールフィッシングキャンペーンを通じて配布されます。C++で書かれたBumbleBeeはローダーとして機能し、初期化、応答処理、および要求送信を担当する単一の機能を含みます。コンプロマイズされたデバイス上で実行されると、マルウェアは被害者のデータを正確に収集し、コマンド&コントロール(C2)サーバーに通信します。 IcedID (BokBotとも呼ばれる)は、銀行トロイの木馬とリモートアクセストロイの木馬(RAT)として分類される比較的新しいマルウェアの変種です。その機能が注目されており、IcedIDはZeusやGozi、 Dridexのような他の高度な銀行トロイの木馬と同等です。セカンドステージのマルウェアとして、IcedIDは最初のステージマルウェアに依存して初期アクセスを確立し、展開を促進します。最近の発見により、オンラインバンキング詐欺機能から逸脱したIcedIDの新しい変種が明らかになりました。この代わりに、これらの変種はコンプロマイズされたシステムに追加のマルウェアをインストールすることを優先しています。その伝統的な方法論からの顕著な変化として、IcedIDはその目的の大幅な変革を示し、オンラインバンキング詐欺を単独で対象とするのではなく、他の悪意のあるペイロードの展開を促進するためにコンプロマイズされたシステム内での拠点設立に重点を置いています。
これらのペイロードは主なQuantum Lockerランサムウェアと付随するツールをコンプロマイズされたシステムに導入します。
悪意のあるメールには、IcedIDローダーをDLL(dar.dll)のフォーマットで収めた.isoイメージファイルが含まれています。また、合法的な文書のように見せかけた実際にはIcedIDペイロードをターゲットとしている偽装された.LNKショートカットファイルも含まれています。
その後、攻撃者は特に他のネットワークホストへのリモートデスクトップ(RDP)アクセスを取得することを目的に、迅速なネットワーク偵察を行います。隣接するシステムへのアクセスが取得されると、攻撃者はQuantum暗号化バイナリ、ttsel.exeを手作業で各ホストの共有フォルダーに転送します。
Quantum攻撃の初期段階では、 Cobalt Strike Beacon、Rclone、Ligoloトンネリングツール、ProcDump、ADFind、およびローカルセキュリティ機関サブシステムサービス(Lsass.exe)などのツールキットがネットワーク偵察とラテラルムーブメントに利用されます。NPPSpyは生活の場を用いて機密データを奪取するのに使用されます。WMI、PsExec、PowerShellのような生活の場(LOTL)ツールが活用されます。Quantum攻撃は主に人間のオペレーターによる手動のエクスプロイトに依存しており、複雑な自動スクリプトやツールキットに頼らないことに注意する必要があります。特に高度なテクニックである「プロセスホローイング」は、cmd.exeプロセスを開始し、そのプロセスのメモリにCobalt Strikeをインジェクトして検出を回避することにあります。隠密操作を維持するために、QuantumはProcMon、Wireshark、CND、タスクマネージャーなどのマルウェア解析に関連したプロセスを積極的に検出して終了します。
迅速なネットワーク攻撃で確認されたクォンタムランサムウェア
Quantum Lockerランサムウェアを他と一線を画すのは、その比類のない実行速度です。数時間のうちに敵対者はランサムウェアを成功裏に実行し、セキュリティ専門家に効果的に対応するための最小限の時間を与えます。その結果、重要なデータが人質になり、業務がストップする重大な影響を及ぼす可能性があります。多くの自動化されたランサムウェア攻撃と違い、Quantumランサムウェアは主に熟練した人間オペレーターによって運営されています。この手動のアプローチにより、攻撃者はテクニックを適応させ、従来のセキュリティ対策を回避することができ、組織が脅威を検出して緩和するのをさらに困難にします。
敵対者は速度を強力な武器として採用し、脆弱性を迅速に悪用し、システムに数分または秒以内で不正侵入します。サプライズの要素に加え、計り知れない速さでの実行はサイバー犯罪者にとって非常に効果的であることが示されています。迅速に実行されたサイバー攻撃の結果は広範囲に及びます。組織は、被害を最小限に抑えるために、迅速に侵害を特定し封じ込めなければならない状況に直面し、記録的なスピードでデータの侵害、業務の中断、評判の損失に苦しみます。さらに、これらの攻撃の加速されたペースは、セキュリティチームに対して大変なプレッシャーをかけており、迅速に侵害を特定し、封じ込めて影響を最小限に抑えることが求められます。
クォンタムランサムウェア攻撃の増加と複雑化に対応するために、SOC Primeプラットフォームはプロアクティブな検出のための特選Sigmaルールセットを提供しています。「 Explore Detections 」ボタンをクリックすると、 MITRE ATT&CK® v12 にマッピングされ、包括的なサイバー脅威コンテキストで強化された関連するSigmaルールの全リストを入手できます。また、すべてのSigmaルールはベンダーロックインを回避するのに役立つセキュリティソリューションに即対応できる状態で用意されています。
クォンタムランサムウェアの背景
Quantum Lockerは、Contiのような他の著名なランサムウェア作戦ほど活発ではないかもしれませんが、 LockBit、および AVOSと比べて依然として注目を要する脅威です。脅威の景観は絶えず進化しており、Quantumランサムウェアのようなグループは、脆弱性を悪用し、検出を回避するためにすばやくTTPを適応させることができます。Quantum Lockerのテクニックを理解することで、防御者は潜在的な攻撃をよりよく予測し、強固なセキュリティ対策を実施し、定期的なバックアップを行い、脆弱性を迅速に修正し、フィッシングやその他の社会工学テクニックに関する従業員への教育を行うことができます。
Quantum Lockerの活動の減少は、攻撃者の操作上の焦点の変更や優先順位の変化、またはサイバーセキュリティ専門家の操作を妨害するための強化された努力を含むさまざまな要因に起因する可能性があります。しかし注意すべきは、少数の成功した攻撃でもターゲット企業に実質的な財務損失、評判の損害、業務の中断を引き起こす可能性があるということです。迅速なサイバーセキュリティ攻撃は、世界中の組織にとって重大な課題を引き起こす懸念される新しいトレンドとなっています。敵対者が引き続き脆弱性を非常な速さで悪用する中、企業は防御を強化することが重要です。
探索 SOC Prime プラットフォーム を活用して、成熟度や使用する技術スタックに関係なく、各サイバー防御者が持っておくべき最良のツールでチームを武装させましょう。Sigma言語をMITRE ATT&CKフレームワークと組み合わせて使用することで、コスト効率が高く将来にわたって有効なサイバー防御を可能にする最先端のソリューションから、業界の集合体の専門知識の力を信頼してください。
