サイバーニュース.jp

世界のサイバーなニュースを配信

「DragonForce」ランサムウェアが「Scattered Spider」と連携し「カルテル」化、その実態と対策

カテゴリ:

はじめに:巧妙化するサイバー脅威「DragonForce」

2023年に登場した「DragonForce」ランサムウェアは、その活動を激化させ、現在では「ランサムウェアカルテル」として知られるようになりました。特に注目すべきは、サイバー犯罪集団「Scattered Spider」との提携により、その脅威がかつてないほど増大している点です。本記事では、DragonForceの進化、Scattered Spiderとの連携戦略、そして企業が講じるべき防御策について深く掘り下げます。

「DragonForce」ランサムウェアの進化

DragonForceは、初期には侵害されたLockBit 3.0ビルダーを利用していましたが、後にConti v3の改良版ソースコードへと移行しました。最新のバリアントでは、truesight.sysrentdrv2.sysといった脆弱なドライバーを悪用し、セキュリティプログラムの無効化、保護されたプロセスのシャットダウン、および暗号化の脆弱性修正を行っています。この修正は、以前Akiraランサムウェアに関連付けられていた脆弱性に対処するもので、DragonForceのリークサイトで言及されているHabrの記事で公開された脆弱性に対処しています。

2025年に「ランサムウェアカルテル」としてリブランディングして以降、DragonForceは世界中の組織に対する攻撃を強化しています。アフィリエイトに80%の利益分配、カスタマイズ可能な暗号化ツール、インフラを提供することで、新規および経験の浅いサイバー犯罪者にとっても参入障壁を下げ、その存在感を拡大しています。

「Scattered Spider」との危険な連携

DragonForceとScattered Spiderの提携は、その効果が実証されています。特に、小売大手Marks & Spencerへの侵害は、この強力なコンビネーションによって実行されました。Scattered Spiderは、洗練されたソーシャルエンジニアリングと初期アクセス操作で知られる、金銭を目的とした脅威アクターです。

Scattered Spiderの侵入手口

  • 偵察:組織の従業員を偵察し、潜在的な標的を特定。ソーシャルメディアやオープンソースインテリジェンスツールを用いて、名前、役職などの公開情報を収集します。
  • ソーシャルエンジニアリング:高度なソーシャルエンジニアリング戦術を駆使し、認証情報を取得またはリセットします。MFA疲労(多要素認証の繰り返し要求でユーザーを疲弊させる)やSIMスワッピングといった欺瞞的手段で多要素認証を回避します。
  • 永続性の確立:アクセス取得後、侵害されたユーザーとしてサインインし、自身のデバイスを登録して侵入を維持します。ScreenConnect、AnyDesk、TeamViewer、Splastopなどのリモート監視・管理(RMM)ツールを展開します。
  • ネットワーク内偵察とデータ窃取:SharePoint、認証情報リポジトリ、バックアップサーバー、VPN構成ドキュメントなど、ネットワーク内の資産を徹底的に偵察します。最近では、AWS Systems Manager Inventoryを活用して横方向の移動のためのシステムを特定しています。
  • データ流出とランサムウェア展開:収集したデータは、抽出・変換・読み込み(ETL)ツールを使って中央データベースに集約され、その後、攻撃者が管理するMEGAAmazon S3などのストレージサービスに流出させます。最終的に、Windows、Linux、ESXi環境全体でDragonForceランサムウェアを展開し、データを暗号化します。

「協力モデル」による脅威の増大

DragonForceは、確立されたランサムウェアフレームワークを基盤としつつ、段階的な改良と大規模な配布を行うことで、より組織的で永続的な脅威となっています。コードのカスタマイズに重点を置くグループとは異なり、DragonForceはカルテルスタイルの人材募集、アフィリエイトの運用における柔軟性、および広範なパートナーシップに注力しています。

Scattered Spiderと組むことで、サイバー犯罪グループが純粋な競争モデルではなく、協力モデルを採用する傾向が強まっていることを示唆しています。これにより、世界中の組織にとって防御の取り組みがさらに複雑化しています。

企業が講じるべき重要な対策

DragonForceとScattered Spiderの連携は、「カルテル化」されたサイバー犯罪への警鐘であり、高度に専門化された脅威アクターがそれぞれのスキル(Scattered Spiderのエリート級ソーシャルエンジニアリングと初期アクセススキル、DragonForceの堅牢なRaaSモデル)を組み合わせ、壊滅的な高プロファイル攻撃を実行していることを示しています。

ITセキュリティ専門家は、以下の対策を検討する必要があります。

  • フィッシング耐性のある多要素認証(MFA)の導入と厳格な適用:Scattered Spiderの主要な初期アクセスベクトルを無効化するために不可欠です。
  • 堅牢なエンドポイント検出・対応(EDR)ソリューションの導入:リモート監視ツールの展開や脆弱なドライバーの使用など、初期アクセスブローカーからランサムウェアアフィリエイトへの引き渡しを示す技術的な兆候を警告するソリューションが必要です。

今日の攻撃はもはや単一の脅威ではなく、専門化されたサイバー敵対者のエコシステムから最良のツールとテクニックを使用した、協調的で多段階的な侵入であることを認識し、備える必要があります。

元記事: https://www.bleepingcomputer.com/news/security/deep-dive-into-dragonforce-ransomware-and-its-scattered-spider-connection/

投稿をさらに読み込む