Last Updated on 2024-08-16 06:23 by admin
【ダイジェスト】
サイバーセキュリティの世界では、新たな脅威が絶えず出現しています。最近の報告によると、Kasseikaというランサムウェアグループが、Windowsホストのセキュリティプロセスを無効化するために「Bring Your Own Vulnerable Driver (BYOVD)」という手法を使用していることが明らかになりました。この手法は、他のランサムウェアグループであるAkira、AvosLocker、BlackByte、RobbinHoodなども利用しており、アンチウイルスプロセスやサービスを終了させ、ランサムウェアの展開を可能にします。
Trend Microの分析によると、Kasseikaは2023年12月中旬に初めて発見され、現在は活動を停止しているBlackMatterとの類似点が指摘されています。BlackMatterのソースコードは公開されていないため、Kasseikaは経験豊富な脅威アクターがBlackMatterへのアクセスを取得または購入した結果である可能性があります。
Kasseikaの攻撃チェーンは、フィッシングメールによる初期アクセスから始まり、リモート管理ツール(RAT)をドロップして特権アクセスを取得し、ターゲットネットワーク内で横移動します。攻撃者は、MicrosoftのSysinternals PsExecコマンドラインユーティリティを使用して、”Martini.exe”というプロセスの存在を確認し、存在する場合はそれを終了させる悪意のあるバッチスクリプトを実行します。これは、マシン上でプロセスが1つだけ実行されていることを保証するためです。
“Martini.exe”の主な役割は、リモートサーバーから”Martini.sys”というドライバーをダウンロードして実行し、991のセキュリティツールを無効にすることです。”Martini.sys”は、実際には”viragt64.sys”という正規の署名されたドライバーで、Microsoftの脆弱なドライバーブロックリストに追加されています。
その後、”Martini.exe”はランサムウェアのペイロード(”smartscreen_protected.exe”)を起動し、ChaCha20とRSAアルゴリズムを使用して暗号化プロセスを行いますが、それに先立って、Windows Restart Managerにアクセスしているすべてのプロセスとサービスを終了します。そして、暗号化された各ディレクトリに身代金の要求メモをドロップし、コンピューターの壁紙を変更して、72時間以内に50ビットコインの支払いを要求するメモを表示します。期限が過ぎると、24時間ごとに50万ドルの追加料金が発生するリスクがあります。さらに、被害者は支払いのスクリーンショットをアクターが管理するTelegramグループに投稿し、復号化ツールを受け取ることが期待されます。
Kasseikaランサムウェアは、wevtutil.exeバイナリを使用してシステムのイベントログをクリアすることで、活動の痕跡を消去するという他のトリックも持っています。これにより、セキュリティツールが悪意のある活動を特定し、対応することがより困難になります。
一方で、Palo Alto Networks Unit 42は、BianLianランサムウェアグループが、2023年初頭に無料の復号化ツールがリリースされた後、二重の恐喝スキームから暗号化なしの恐喝攻撃へと移行したことを詳細に報告しています。BianLianは、2022年9月以降、米国、英国、カナダ、インド、オーストラリア、ブラジル、エジプト、フランス、ドイツ、スペインの医療、製造、専門、法律サービス部門を主に標的にしてきました。盗まれたリモートデスクトッププロトコル(RDP)の資格情報、既知のセキュリティの欠陥(例:ProxyShell)、ウェブシェルは、BianLianオペレーターが企業ネットワークに侵入するために採用している最も一般的な攻撃経路です。さらに、このサイバー犯罪グループは、Makopとして追跡されている別のランサムウェアグループとカスタムの.NETベースのツールを共有しており、過去に同じ開発者のサービスを利用したり、ツールセットを共有した可能性を示唆しています。
サイバーセキュリティは常に進化しており、新たな脅威に対応するためには、最新の情報を追い続けることが不可欠です。このような複雑な攻撃手法に対抗するためには、専門家の分析と対策が求められます。企業や個人は、セキュリティ対策を常に更新し、警戒を怠らないことが重要です。
【ニュース解説】
Kasseikaというランサムウェアグループが、Windowsのセキュリティ機能を無効にする新しい手法「Bring Your Own Vulnerable Driver (BYOVD)」を使っています。この手法は、セキュリティソフトウェアを停止させてからランサムウェアを展開することを可能にします。Kasseikaは、以前に活動を停止したBlackMatterと関連があると見られ、経験豊富な脅威アクターが関与している可能性があります。
攻撃は、フィッシングメールで始まり、リモート管理ツールを使ってネットワーク内で横移動し、特定のプロセスを終了させることで、1つのマシン上で複数のプロセスが実行されないようにします。その後、正規のドライバーを改ざんしてセキュリティツールを無効にし、ランサムウェアを実行します。このランサムウェアは、ファイルを暗号化し、身代金を要求するメモを残します。支払いが行われない場合、追加料金が発生します。
さらに、Kasseikaは活動の痕跡を消すために、システムのイベントログをクリアする技術も使用しています。これにより、セキュリティツールが攻撃を検出しにくくなります。
一方、BianLianという別のランサムウェアグループは、無料の復号化ツールがリリースされた後、データを暗号化せずに恐喝する手法に移行しました。BianLianは、さまざまな産業を標的にしており、盗まれたリモートデスクトッププロトコルの資格情報や既知のセキュリティの欠陥を利用して攻撃を行っています。また、別のランサムウェアグループとツールを共有していることが示されています。
このような複雑な攻撃手法に対抗するためには、専門家の分析と対策が必要です。企業や個人は、セキュリティ対策を常に更新し、警戒を怠らないことが重要です。常に最新の情報を追い続け、新たな脅威に対応する準備をしておく必要があります。
from Kasseika Ransomware Using BYOVD Trick to Disarms Security Pre-Encryption.