Multi-License Discount Quote
脅威データベース Ransomware RansomHub ランサムウェア

RansomHub ランサムウェア

RansomwareMezoまで
翻訳内容:
日本語

サイバーセキュリティアナリストが、RansomHub という新しいランサムウェアを発見しました。報道によると、このランサムウェアの背後にいるサイバー犯罪者は、独立国家共同体 (CIS) 諸国、キューバ、北朝鮮、中国の組織は標的にしないと主張しています。この宣言にもかかわらず、彼らは短期間でいくつかの著名な組織を積極的に感染させています。被害者の中には、Change Healthcare、Christie's、Frontier Communications などがあります。特に、研究者は、RansomHub が、以前に特定されたCyclopsと呼ばれるランサムウェアの反復であるKnight Ransomwareと非常によく似ていることを強調しています。

Knightランサムウェアのコードはすべてのサイバー犯罪者に販売されていた

Knight ランサムウェアは Cyclops 2.0 としても知られ、2023 年 5 月に出現し、二重の恐喝手法を利用して被害者のデータを盗み、暗号化して利益を得ます。Windows、Linux、macOS、ESXi、Android など、さまざまなプラットフォームで動作可能です。

RAMP サイバー犯罪フォーラムで販売されているこのランサムウェアによる攻撃は、フィッシングやスピアフィッシングの戦術に頼ることが多く、配布には不正な添付ファイルが使われていました。Ransomware-as-a-Service (RaaS) の運用は 2024 年 2 月下旬に終了し、ソース コードは販売されました。この動きにより、新しい攻撃者への譲渡の可能性が浮上し、その攻撃者は RansomHub という名前で更新して再起動した可能性があります。

RansomHubとKnightランサムウェアの大きな共通点

どちらのランサムウェアも Go で書かれており、それぞれのファミリーのほとんどのバージョンは Gobfuscate で難読化されています。両者のコードにはかなりの類似性があり、区別するのは困難です。

どちらのランサムウェア ファミリも、コマンド ライン インターフェイスで同一のヘルプ メニューを共有しています。ただし、RansomHub では新しい「スリープ」オプションが導入され、実行前に指定期間 (分単位) 非アクティブのままにすることができます。同様のスリープ コマンドは、 Chaos / YashmaTrigona Ransomware などの他の脅威でも確認されています。

Knight と RansomHub の類似点は、文字列のエンコードに使用される難読化手法、ファイルの暗号化後に残される身代金要求メモの内容、暗号化を開始する前にホストをセーフ モードで再起動する機能にまで及びます。

主な違いは、cmd.exe を介して実行されるコマンドのセットにありますが、他の操作に対するコマンドの順序と実行は同じままです。

RansomHubランサムウェアはベテランのサイバー犯罪者によって運営されている可能性がある

RansomHub 攻撃は、既知のセキュリティ脆弱性 ( ZeroLogonなど) を悪用して初期アクセスを取得することが確認されています。ランサムウェアを展開する前に、Atera や Splashtop などのリモート デスクトップ ソフトウェアをドロップします。2024 年 4 月だけでも、このランサムウェア系統に関連する攻撃が 30 件近く確認されています。

研究者は、RansomHub がLockBitBlackCat (ALPHV や Noberus としても知られる) のような最近の閉鎖や撤退戦術の影響を受けた関連会社を積極的に探しているのではないかと疑っています。元 Noberus 関連会社の Notchy が現在 RansomHub と協力関係にあると考えられています。さらに、別の Noberus 関連会社である Scattered Spider と以前関連付けられていたツールが最近の RansomHub 攻撃で使用されました。

ランサムハブの活動が急速に拡大していることから、このグループはサイバー地下組織での経験とコネクションを持つ熟練の運営者で構成されている可能性が示唆されている。

ランサムウェア攻撃が再び増加中

RansomHub の開発は、2022 年にわずかに減少した後、2023 年にランサムウェアの活動が増加する中で行われました。興味深いことに、この 1 年間に発見された 50 の新しいランサムウェア ファミリーの約 3 分の 1 は、以前に特定されたもののバリエーションです。この傾向は、コードのリサイクル、アクターの重複、ブランド変更戦略の普及が進んでいることを示唆しています。

これらの攻撃は、Cobalt Strikeに頼るのではなく、市販の正規のリモート デスクトップ ツールを使用する点が注目に値します。このような正規のツールへの依存度が高まっているのは、攻撃者が検出メカニズムを回避して操作を効率化し、カスタム ツールの開発と保守の必要性を減らそうとしている可能性が高くなります。

RansomHub ランサムウェアの被害者が受け取る身代金要求メッセージには、次のように書かれています。

'Hello!

Visit our Blog:

Tor Browser Links:
hxxp://ransomxifxwc5eteopdo****************ifu2emfbecgbqdw6qd.onion/

Links for normal browser:
hxxp://ransomxifxwc5eteopdo****************ifu2emfbecgbqdw6qd.onion.ly/

>>> Your data is stolen and encrypted.

- If you don't pay the ransom, the data will be published on our TOR darknet sites. Keep in mind that once your data appears on our leak site, it could be bought by your competitors at any second, so don't hesitate for a long time. The sooner you pay the ransom, the sooner your company will be safe.


>>> If you have an external or cloud backup; what happens if you don’t agree with us?

- All countries have their own PDPL (Personal Data Protection Law) regulations. In the event that you do not agree with us, information pertaining to your companies and the data of your company’s customers will be published on the internet, and the respective country’s personal data usage authority will be informed. Moreover, confidential data related to your company will be shared with potential competitors through email and social media. You can be sure that you will incur damages far exceeding the amount we are requesting from you should you decide not to agree with us.


>>> Don't go to the police or the FBI for help and don't tell anyone that we attacked you.

- Seeking their help will only make the situation worse,They will try to prevent you from negotiating with us, because the negotiations will make them look incompetent,After the incident report is handed over to the government department, you will be fined ,The government uses your fine to reward them.And you will not get anything, and except you and your company, the rest of the people will forget what happened!!!!!


>>> How to contact with us?

- Install and run 'Tor Browser' from hxxps://www.torproject.org/download/
- Go to hxxp://h6tejafqdkdltp****************seslv6djgiukiii573xtid.onion/
- Log in using the Client ID: -


>>> WARNING

DO NOT MODIFY ENCRYPTED FILES YOURSELF.
DO NOT USE THIRD PARTY SOFTWARE TO RESTORE YOUR DATA.
YOU MAY DAMAGE YOUR FILES, IT WILL RESULT IN PERMANENT DATA LOSS.'

トレンド

GuardGo 

Browser Hijackers
GuardGo は、ユーザーのブラウジング体験に影響を与える侵入的な動作で悪名高いブラウザ ハイジャッカーです。その特徴と影響について詳しく見てみましょう。 GuardGoの仕組み GuardGo は通常、バンドルされたソフトウェアや偽のアップデートなどの欺瞞的なインストール方法を通じてシステムに侵入します。インストールされると、デフォルトの検索エンジン、ホームページ、新しいタブ ページなど...

メガガード

望ましくない可能性のあるプログラム, Adware
MegaGuard は、便利なブラウザ拡張機能を装ったアドウェアです。疑わしい Web サイトへのアクセスをブロックするように設計されたセキュリティ ツールとして販売されています。ただし、アドウェアは定義上、広告をサポートするソフトウェアであり、その主な目的は、煩わしい広告を通じて開発者や発行者に収益をもたらすことです。さらに、MegaGuard はユーザーのブラウジング アクティビティを追...

Guardian Angel Extension

望ましくない可能性のあるプログラム, Adware, Browser Hijackers
Guardian Angel は、侵入的な機能を備えたブラウザ拡張機能で、基本的にはブラウザ ハイジャッカーとして機能します。インストールされると、ユーザーが閲覧する Web サイトに広告が挿入され、ブラウザの検索クエリが変更されて、宣伝されたアドレスに誘導されます。さらに、Guardian Angel は正当な「組織による管理」ブラウザ機能を利用するため、ユーザーが簡単に拡張機能を削除する...

最も見られました

画面を共有するとDiscordが黒い画面を表示するスクリーンショット

画面を共有するとDiscordが黒い画面を表示する

Issue
83,504
最初に立ち上げられたとき、Discord はゲーム コミュニティ向けの VoIP プラットフォームでした。しかし、その後数年間でその範囲を拡大し、多数の新機能を追加し、最大のソーシャル プラットフォームの 1 つになり、月間アクティブ ユーザー数は 1 億 4000 万人を超えました。現在、ユーザーはプライベート インスタント メッセージを送信したり、VoIP やビデオ通話を開始したり、コン...

「プリンタドライバが利用できません」エラーを修正する方法

Issue
65,521
プリンターは、ユーザーが最も必要としているときにいつでもジョブを実行することを拒否することで有名です。幸いなことに、お使いのプリンターに「プリンター ドライバーは使用できません」というエラーが表示されている場合は、問題を解決できる簡単な解決策がいくつかあります。この特定のエラーは、破損したドライバー ファイル、古いドライバー、またはドライバーの非互換性が原因である可能性があります。 Micr...

Msedge.exeとは何ですか?

Issue
61,855
一部の Windows ユーザーは、システムのバックグラウンドで「msedge.exe」という名前のプロセスがアクティブになっていることに気付く場合があります。通常、この特定のプロセスは Microsoft Edge ブラウザーの一部であるため、心配する必要はありません。 msedge.exe アプリケーションがシステムの CPU または RAM リソースを大量に消費している場合でも、ブラウ...
読み込んでいます...