概要:運用ミスが招いたデータ回復
運用上のセキュリティ欠陥により、INCランサムウェアギャングが米国の12組織から盗んだデータを研究者が回復することに成功しました。残された痕跡の詳細なフォレンジック調査により、今回の攻撃では使用されなかったツールが発見され、複数の被害者から窃取されたデータを保管している攻撃者のインフラが露見しました。
この画期的な作戦は、デジタルフォレンジックおよびインシデント対応企業であるCyber Centaursによって実施され、同社は昨年11月にその成功を公表し、今回BleepingComputerに詳細を共有しました。
INCランサムウェア攻撃の発見と初期調査
Cyber Centaursの調査は、ある米国のクライアント組織が本番環境のSQL Serverでランサムウェアによる暗号化活動を検出したことから始まりました。ペイロードであるRainINCランサムウェアの亜種は、通常Windowsによって作成される「PerfLogs」ディレクトリから実行されました。しかし、ランサムウェア攻撃者は、ステージング目的でこのディレクトリを悪用する頻度が増えています。
研究者たちは、データ窃取がラテラルムーブメントの段階で発生しており、脅威アクターがこの攻撃で直接使用していなかったにもかかわらず、正規のバックアップツールResticの痕跡を発見しました。この予期せぬ発見により、研究者たちの調査は「インシデント対応からインフラ分析へ」と方向転換しました。
Resticを悪用したデータ窃取のメカニズム
INCランサムウェアが残した痕跡には、名前が変更されたバイナリ(例:「winupdate.exe」)、Resticを実行するPowerShellスクリプト、ハードコードされたリポジトリ構成変数、およびバックアップコマンドが含まれていました。Restic関連の残存物は、脅威アクターがこのバックアップツールを運用ツールキットの一部として選択的に使用していたことを示唆していました。
発見されたPowerShellスクリプトの一つである「new.ps1」には、Restic用のBase64エンコードされたコマンドが含まれており、ツールを実行するために使用されるハードコードされた環境変数(アクセスキー、リポジトリパス、暗号化されたリポジトリ用のS3パスワード)も含まれていました。
研究者たちは、「もしINCがキャンペーン全体でResticベースのインフラを日常的に再利用していたならば、攻撃者のスクリプトで参照されているストレージリポジトリは、ランサムウェアイベントが終了しても解体される可能性は低いだろう。むしろ、それらのリポジトリは長期にわたる攻撃者管理下の資産として存続し、交渉が終了したり支払いがなされたりした後も、密かに暗号化された被害者データを保持している可能性が高い」と推測しました。
12組織のデータ回復と法執行機関との連携
この仮説を検証するため、チームは制御された非破壊的な列挙プロセスを開発し、米国の医療、製造、テクノロジー、サービス分野の12の無関係な組織から盗まれた暗号化されたデータの存在を確認しました。これらの組織はいずれもCyber Centaursのクライアントではなく、インシデントも無関係で、それぞれが独立したランサムウェアイベントでした。
研究者たちはその後、バックアップを復号し、そのコピーを保存しました。同時に、所有権の確認と適切な手続きのために法執行機関に連絡を取り、連携しました。
INCランサムウェアの活動と検出対策
Cyber Centaursの報告書には、INCランサムウェア攻撃で使用された複数のツールが挙げられており、その中には以下のものが含まれます。
- クリーンアップツール
- リモートアクセスソフトウェア
- ネットワークスキャナー
INCランサムウェアは、2023年半ばに登場したRansomware-as-a-Service(RaaS)オペレーションです。この脅威アクターは長年にわたり、いくつかの高プロファイルな被害者を出しています。これには以下のような組織が含まれます。
- ヤマハ発動機
- Xerox Business Solution
- スコットランド国民保健サービス(NHS)
- McLaren Health Care
- テキサス州弁護士会
- Ahold Delhaize
- パナマ経済省
- ペンシルバニア州司法長官事務所
- Crisis24
研究者たちはまた、防御側がResticバックアップツールやその名前が変更されたバイナリが環境内で存在したり、疑わしい場所から実行されたりするのを検知するのに役立つYARAおよびSigmaルールを作成しました。これは、開発中のランサムウェア攻撃の兆候となる可能性があります。