スキャッタードスパイダーがRansomHubとQilinランサムウェアを採用

サイバー攻撃の新たな脅威

2024年7月17日 – サイバー犯罪 / ランサムウェア

マイクロソフトの発表によると、悪名高いサイバー犯罪グループ「スキャッタードスパイダー」は、RansomHubやQilinといったランサムウェアを武器に加えたことが明らかになりました。

スキャッタードスパイダーは、ターゲットに侵入し持続性を確立するための高度なソーシャルエンジニアリング手法で知られています。このグループはVMWare ESXiサーバーを標的にし、BlackCatランサムウェアを展開する歴史も持っています。

また、サイバーセキュリティコミュニティでは0ktapus、Octo Tempest、UNC3944といった名称でも追跡されており、先月にはグループの主要メンバーがスペインで逮捕されました。

RansomHubとQilinランサムウェアの詳細

RansomHubは今年2月に登場し、Broadcom傘下のSymantecの分析によると、以前のKnightランサムウェアのリブランドであるとされています。「RansomHubはランサムウェア・アズ・ア・サービス（RaaS）のペイロードであり、他のランサムウェアペイロード（BlackCatなど）を歴史的に使用していた脅威アクターによっても利用されるようになっています」とマイクロソフトは述べています。

さらに、RansomHubはManatee Tempest（別名DEV-0243、Evil Corp、Indrik Spider）が初期アクセスをMustard Tempest（別名DEV-0206、Purple Vallhund）から取得した後のポストコンプロマイズ活動の一環として展開されていることが確認されています。

Mustard Tempestは、FakeUpdates（別名Socgholish）を使用して攻撃を行う初期アクセスブローカーであり、これらの侵入はRaspberry Robin感染を介してFakeUpdatesが配信されることでも注目されました。

新たなランサムウェアファミリーの登場

この発展は、FakePenny（Moonstone Sleetに起因）、Fog（Storm-0844によって配布され、Akiraも拡散）、ShadowRootといった新しいランサムウェアファミリーの出現と一致します。特にShadowRootは、偽のPDF請求書を使用してトルコ企業を標的にしていることが観察されています。

「ランサムウェアの脅威が増加し、拡大し、進化し続ける中で、ユーザーや組織は、特に認証情報の衛生管理、最小権限の原則、およびゼロトラストのセキュリティベストプラクティスに従うように勧められます」とマイクロソフトは述べています。

この記事では、スキャッタードスパイダーが新たに採用したRansomHubとQilinランサムウェアに関する最新情報を提供しています。ランサムウェアの脅威に対する防御策を強化するために、最新のセキュリティ情報に注目し続けることが重要です。