GLOBALと名乗るランサムウェアグループは、犯罪を引き起こす脅威というより SaaS 製品のローンチに近いプロモーション動画を公開しました。24/7 サポート、毎週のアップデート、モバイル管理を謳い、ランサムウェア・アズ・ア・サービス(RaaS)がどのようにプロフェッショナル化され、フランチャイズ型ビジネスモデルに進化したかを示しています。
派手なブランディングの裏で、GLOBAL の機能セットはアフィリエイトがどのように活動し、なぜ従来の防御がしばしば不十分なのかを物語っています。各機能は、影響を加速させ、検知を回避し、身代金を最大化するために精巧に設計されています。
エンタープライズ規模へのリーチと拡張
マルチプラットフォームビルド:企業の急所を突く
企業は Windows ノートPCだけでなく、アプリケーション用の Linux サーバー、仮想化のための VMware ESXi ハイパーバイザー、ストレージ用の NAS/BSD アプライアンスに依存しています。これらのプラットフォームはレジリエンスの中心である一方、魅力的なランサムウェアの標的にもなります。
GLOBAL のビルダーは、アフィリエイトがこれらすべてに対応するランサムウェアを数分で生成できるようにします。これにより、バックアップ、ストレージ、仮想マシンもデスクトップと同様に脆弱になります。彼らの目標は単純です:あらゆる復旧経路を断つこと。エンドポイントツールに依存する SOC チームにとって、ESXi や NAS システムの可視性はほぼ存在せず、インフラ全体が露出したままとなります。
ワンクリック・プロパゲーション:武器としてのスピード
単一の感染エンドポイントは、必ずしも身代金交渉の手札にはなりません。攻撃者が企業に支払いを迫るには、規模と速度が必要です。
GLOBAL のワンクリック伝播機能はラテラルムーブメントを自動化し、数分でネットワーク全体にランサムウェアを拡散します。アフィリエイトに高度な技術は不要で、プラットフォームが盗んだ資格情報や共有ドライブを利用して拡散を処理します。防御者が1台の異常を発見した時点で、すでに数十台が暗号化されている可能性があります。従来のEDRやファイアウォールは、この種の内部の認証済みトラフィックをほとんど検知せず、攻撃者は対応チームを凌駕します。
マウント・モード:エンドポイントを超えた暗号化
重要な業務データはユーザーマシンにマウントされた共有ネットワークドライブに存在することが多く、これらにはエンドポイント保護が導入されていないため、ランサムウェアにとって格好の標的となります。
GLOBAL のマウントモードは、感染したエンドポイントからリモートディスクを暗号化することでこれを悪用します。NAS やファイルサーバーにバイナリが触れることはありません。攻撃者にとっては広範囲を低リスクでカバーでき、防御者にとってはEDRがストレージシステム上のマルウェアコードを検知できず、バックアップも暗号化され、SOC が攻撃に気づく頃には手遅れになります。
破壊と回避のツールキット
自己削除バイナリー:証拠を消す
実行後、GLOBAL は自身のバイナリを削除し、防御者が解析するファイルを残しません。これによりフォレンジック調査を妨げ、アフィリエイトが同じペイロードを再利用する時間を稼ぎます。署名ベースのアンチウイルスはサンプルが消えれば無力です。
イベントログの削除:ディフェンダーの目をくらませる
Windows のイベントログを消去することで、ラテラルムーブメント、権限昇格、プロセス実行の痕跡が消えます。調査員に残されるのは暗号化ファイルだけで、攻撃経路は追えません。SIEM はログに依存しているため、ログが消されれば無効化されます。
サービスとプロセスの停止:暗号化の障害を除去
データベース、バックアップ、エンドポイントセキュリティエージェントを終了させることで、円滑な暗号化を保証し、復旧手段を奪い、防御を沈黙させます。大量のプロセス終了はEDRにフラグされる可能性がありますが、攻撃者は日常のITタスクに偽装して目立たなくします。
ファイル名とアイコンを暗号化:攻撃のブランディング
GLOBAL は、".GLOBAL"のような拡張子やブランド化したアイコンで暗号化ファイルをカスタマイズできます。これは技術的だけでなく心理的効果も持ち、社員がフォルダを開くとブランド化されたファイルのみが並び、恐怖と圧力を増幅します。アンチウイルスは見た目の変化を無視し、多くのSOCツールも一括メタデータ変更を検知できません。
パニック・モードコントロールのためのキルスイッチ
GLOBAL は実行を即座に停止する「パニックモード」を備えています。サンドボックスに当たった場合や強固な防御に遭遇した場合、誤った標的に攻撃した場合にアフィリエイトを守ります。ランサムウェアは作業途中で消え、せいぜい断片的な痕跡しか残しません。AVやEDRはテレメトリが蓄積される前に終了した攻撃をほとんど捉えられません。
恐喝と圧力戦術
AIを駆使した交渉:身代金交渉の自動化
身代金交渉は労力がかかります。GLOBAL は AI サポートで会話を導き、要求を調整し、支払いを最大化します。アフィリエイトは複数のキャンペーンを同時に進行可能です。被害者が話している相手は人間ではなく、最適化された自動交渉システムです。
ブログとモバイルアプリ:指先でできる恐喝
GLOBAL のアフィリエイトは独自の恐喝ブログを持ち、モバイルアプリで流出を管理できます。盗んだデータをアップロードし、カウントダウンを開始し、即座に圧力キャンペーンを強化できます。二重恐喝は持ち運び可能で常時稼働、中央で管理するオペレーターに依存しません。従来の防御はここでは無力で、リークが公開された後の脅威インテリジェンス監視に頼るしかありません。
結論:防御者はランサムウェアの産業化に対応する必要がある
GLOBAL は大きな真実を示しています:ランサムウェアは産業化されたサービスモデルに進化したということです。アフィリエイトは自動化、破壊ツール、プロフェッショナルなサポートを与えられ、従来の防御は追いつけずにいます。
防御者にとって、EDR、SIEM、バックアップだけに依存するのはもはや不十分です。これらのツールは重要ですが、GLOBAL の機能はそれらを回避するよう明示的に設計されています。暗号化や恐喝が始まる前にランサムウェアを阻止するには、アイデンティティ、ネットワーク、クラウド、エンドポイントを横断する可視性と、攻撃者の振る舞いをリアルタイムに検知できるインテリジェンスが必要です。
そこでVectra AIプラットフォームの出番です。ラテラルムーブ、資格情報の悪用、異常な暗号化活動といった振る舞いを検知することで、Vectra AI は SOC チームが GLOBAL のような攻撃を身代金要求が現れる前に捉えられるようにします。これは従来のツールが残す検知と対応のギャップを埋める欠けたレイヤーなのです。