✅ レポートタイトル:ランサムウェアグループプロファイリング: 「Underground」
S2W脅威インテリジェンスセンターにて分析した脅威グループプロファイリングレポートを公開します。
10月、日本の有名時計・電子機器メーカーのC社のデータを窃取したと主張した「Underground」グループが、12月には韓国の半導体メーカーS社のランサムウェア感染を主張しました。
当該レポートは、ランサムウェアグループ「Underground」のプロファイルを確認するための難易度の高い脅威インテリジェンスレポートです。
✅ レポートの要約:
1️⃣ 概要
ランサムウェアグループ「Underground」は、2023年7月3日、海外のセキュリティ企業Cyble社が最初に発見したランサムウェアグループであり、少なくとも2023年7月から活動していたと見られます。
「Underground」は、ダークウェブやTelegramチャネルなどを活用して被害企業リストと流出データをアップしています。
2️⃣ 被害の状況
2024年1月から11月までに「Underground」ランサムウェアの被害を受けた企業は19社であると確認されています。
被害国はアメリカ(7社)が最も多く、韓国企業1社に対する被害も報告されています。
産業別では製造業(5件)が最も多くの被害を受け、ビジネスサービス(4件)と小売業(3件)であると確認されました。
3️⃣ 侵入プロセス
「Underground」ランサムウェアグループとアフィリエイトは、初期侵入のためにフィッシングキャンペーンの実行や、脆弱なソフトウェアを対象に脆弱性を悪用することが知られています。
その後、マルウェア「RomCom」などを使用し資格情報などを収集し、Impacketなどの既知のツールを使用して移動し、ランサムウェアを流布します。
4️⃣ 攻撃ツール
ランサムウェアグループ「Underground」は、資格情報とスクリーンショットの奪取、リモートコントロールにマルウェア「RomCom」を使用し、横展開しながらImpacketツールを利用することが知られています。
「Underground」ランサムウェアを流布することが知られている「Storm-0978」グループは、過去にランサムウェア「Industrial Spy」、「Trigona」を使用しました。
5️⃣ 主な特長
「Underground」ランサムウェアは、実行時に引数を介してターゲットディレクトリ名を入力し暗号化を実行し、引数が入力されない場合はすべてのディレクトリをターゲットに暗号化を実行します。
ファイルの暗号化は3DES + RSAアルゴリズムを使用し、暗号化されたファイルの最後のオフセットに140バイトのサイズの情報を記録します。
- RSAで暗号化されたKey & IV(128 bytes)
- 元のファイルサイズ(8バイト)
- File Marker: 0x31415926(4 bytes)
6️⃣ 最近の動向
2024年10月に、「Underground」グループは、日本の大手企業C社を攻撃してデータを盗んだと主張しました。これへの対応として、C社は個人情報やその他の機密情報の窃取有無を調査するために外部のIT専門家を雇ったと主張しました。
また、「Underground」グループは2024年12月17日に韓国の半導体企業S社の主要資料を盗んだと主張しました。
ランサムウェアは、奪ったデータを人質に身代金(Ransom)の支払いに応じない場合、データの破損や、機密資料を流出すると脅迫するマルウェアの一種です。
ハッカーが公開したデータには、CEOのレポートや取締役会資料、予算・財務資料、Appleパートナーシップに関するドキュメントなどの主要資料が含まれます。
📌 直近2か月間、ダークウェブビッグデータで発見されたランサムウェアグループの動向について
[2024年10月]
- 10月に510社がランサムウェア攻撃の被害を受け、ランサムウェアグループが運営するリークサイトに感染した事実が公開されました。
- 10月の1か月間に発生したランサムウェア関連の主な問題を4つに分けた結果は以下の通りです。
(1)Threat Actor&Malware:Windows、MacOSオペレーティングシステムをターゲットとするGo言語で製作されたランサムウェアが登場し、「LockBit」を模倣していました。さらに、「Rhysida」グループの多層インフラストラクチャを発見し追跡したところ、「CleanUpLoader」というバックドアを発見しました。
(2)Vulnerability:「Akira」と「Fog」はVeeam RCEの脆弱性(CVE-2024-40711)を使用しています。
(3)主な被害者:日本の大企業C社が「Underground」の攻撃によって一部のサービスに影響を与え、システムが中断するインシデントが発生し、ボストン小児病院(Boston Children's Health Physicians)もランサムウェア「BianLian」の被害を受けました。
(4)Deep&Dark Web:「BlackBasta」グループが自身のリークサイトにWindowsを標的としたRCEゼロデイの脆弱性の購入意志を示しました。DragonForceサーバーから盗んだソースコードとアフィリエイト情報を販売したいという投稿がXSSフォーラムにアップロードされました。
[2024年11月]
- 11月に584社がランサムウェア攻撃の被害を受け、ランサムウェアグループが運営するリークサイトに感染した事実が公開されました。
- 11月の1か月間に発生したランサムウェア関連の主な問題を4つに分けた結果は以下の通りです。
(1)Threat Actor&Malware:新たなHelldownのTTPが公開され、CISAで公開された「BianLian」の勧告が更新されました。
(2)Vulnerability:「Romcom」はゼロデイの脆弱性(CVE-2024-49039、CVE-2024-9680)を悪用しました。
(3)主な被害者:「Cactus」はアメリカ最大の公共住宅機関の1つであるロサンゼルス住宅庁(HACLA)への攻撃を主張しました。
(4)Deep&Dark Web:ユーザー「@NMZ」は、AES-256暗号化を使用するAndroidランサムウェアの「SRans」について説明しました。
✅ 脅威検知に関して
S2W脅威インテリジェンスセンターでは、毎月発生するランサムウェア攻撃の問題をグループ別に4つのカテゴリー(1. Threat Actor & Malware 2. Vulnerability 3. Major Victims 4. Deep Dark Web)に分けてインテリジェンスを提供しています。
「Underground」グループの場合、10月の主な被害者のカテゴリーで紹介されており、継続的なランサムウェアレポートのモニタリングを通じて関連情報を受け取ることができます。
*S2W脅威インテリジェンスセンターでは、QUAXAR(クェイサー)プラットフォームを通じて、クライアント企業に月刊「Story of the Month: Ransomware on the Darkweb」レポートを提供しております。
各カテゴリーの分析詳細、対応方法については、下記のリンクよりお問い合わせください。
🧑💻 レポート作成者: S2W 「TALON」 (2024年11月20日基準)
👉 レポートに関するお問い合わせ: https://s2w.inc/ja/contact
*当該レポートは、S2Wのプラットフォームにて提供されます。詳細に関してはお問い合わせください。