脅威の概要と背景
高度なマルウェア回避技術と迅速なネットワーク伝播能力を持つ新種のランサムウェア「CrazyHunter」が、医療機関にとって深刻な脅威として浮上しています。Trellixがその登場以来追跡しているこのランサムウェアは、サイバー犯罪者が医療機関を標的とする戦術の著しい進化を示しています。
CrazyHunterランサムウェアは、2024年半ばに登場したPrinceランサムウェアビルダーの派生型であり、Go言語で開発されたWindowsに特化した脅威です。ネットワーク侵害技術と防御回避メカニズムにおいて、注目すべき進歩を遂げています。攻撃者はデータ漏洩サイトを運営しており、被害者情報を公開することで、ファイル暗号化による運用停止だけでなく、評判へのダメージも与えています。
標的と攻撃の動機
CrazyHunterの主な標的は、台湾の医療機関であり、これまでに6つの機関が侵害されたことが確認されています。攻撃者が医療施設を好むのは、医療サービスの重要な性質と、これらの組織が保持する大量の機密性の高い患者データが理由です。
病院のダウンタイムは人命に関わる結果をもたらす可能性があり、これが被害者に身代金を迅速に支払うよう多大な圧力をかけることになります。CrazyHunterの運営者は、この計算を明確に理解し、悪用しています。
CrazyHunterの巧妙な攻撃手法
CrazyHunterの攻撃は、企業のネットワークの脆弱性に対する深い理解を示す体系的な4段階のアプローチに従います。
- 初期侵入: 通常、Active Directoryインフラストラクチャ内の脆弱なパスワードを悪用し、攻撃者にドメインレベルのアクセスを提供します。
- ネットワーク拡散: 公開されているツールであるSharpGPOAbuseを利用して、グループポリシーオブジェクトを通じて悪意のあるペイロードを配布し、ネットワーク全体への迅速な伝播を可能にします。
- 特権昇格: 最も懸念される側面は、高度な特権昇格技術です。このランサムウェアは、Zemanaアンチマルウェアドライバー(zam64.sys)の武器化されたバージョンを使用したBring-Your-Own-Vulnerable-Driver(BYOVD)攻撃を採用しています。この洗練されたアプローチにより、攻撃者はカーネルレベルで動作し、暗号化ペイロードを展開する前にセキュリティソフトウェアを体系的に終了させます。
- 多層的な暗号化プロセス: CrazyHunterは、暗号化を成功させるために複数のコンポーネントを展開します。
- 攻撃チェーンには、セキュリティ防御を無力化する専門の「AVキラー」実行可能ファイル(go.exeおよびgo2.exe)が含まれます。
- その後、主要なランサムウェアペイロード(go3.exe)が展開されます。
- Donut Loader(bb.exe)は、シェルコードを直接メモリにロードすることでファイルレス実行を可能にし、ディスクベースの検出メカニズムを回避します。
- ダウンロードされたファイルは\tempディレクトリに「Wallpaper.png」として保存され、その後、PowerShellコマンドによって壁紙として設定されます。
- ランサムウェアは、ファイル暗号化にChaCha20ストリーム暗号を使用し、暗号化プロセスを高速化するために、1バイトを暗号化し、2バイトを未暗号化のままにする特徴的な1:2パターンを採用しています。
- 暗号化キーは楕円曲線統合暗号方式(ECIES)を使用して保護されており、被害者が攻撃者の秘密キーなしにファイルを復号できないようにしています。
- 暗号化されたファイルには「Hunter」拡張子が付けられます。
対策と今後の展望
セキュリティ専門家は、CrazyHunterに対するいくつかの重要な防御策を強調しています。
- 組織は、すべてのドメインアカウントに多要素認証を義務付け、グループポリシーオブジェクトの変更権限を厳格に管理する必要があります。
- エンドポイント検出機能は、BYOVD攻撃やAVキラーコンポーネントを識別してブロックするために不可欠です。
- ネットワークセグメンテーションは、水平方向の移動を制限するのに役立ちます。
- 不変でオフラインのバックアップは、身代金を支払うことなく回復するオプションを提供します。
Trellixは、既知のCrazyHunter関連実行可能ファイルをすべてカバーする包括的な保護対策を実装し、顧客にこの進化する脅威に対する堅牢な防御を提供しています。ランサムウェアオペレーターが高度な回避技術を開発し続ける中、医療機関は患者データを保護し、重要なケア業務を維持するために、サイバーセキュリティへの投資を優先する必要があります。