Arkana Security
Arkanaは、米国の大手ケーブルテレビ・ブロードバンドプロバイダーであるWideOpenWest(WOW!)に対する攻撃的な大規模な攻撃で注目を集め、その名を世に知らしめた、新たに特定されたランサムウェアグループです。
Arkanaの生い立ち
Arkanaは、新たに確認されたランサムウェアグループで、米国の大手ケーブルテレビ・ブロードバンドプロバイダーであるWideOpenWest(WOW!)に対する攻撃的で注目を集めた攻撃でデビューしました。最近出現したにもかかわらず、このグループの高度な活動から、経験豊富な脅威アクターによって運営されている可能性が示唆されています。Arkanaは、恐喝と強制的な戦術に重点を置いた3段階のランサムウェアモデル(身代金、売却、漏洩)を運用しています。Onionサイトや彼らのコミュニケーションで使用されている言葉遣いから、ロシア起源またはロシアとの関連が示唆されていますが、これはまだ決定的な証拠に至っていません。
彼らの戦略は技術的なものだけでなく心理的なものでもあり、被害者への圧力を高めるために、非難戦術や企業情報のドクシングに頼っています。このグループが公開の「ウォール・オブ・シェイム」を利用し、ドクシングされた経営幹部情報を拡散していることは、恐喝計画の一環として評判を毀損する攻撃へと移行していることを示しています。
Arkanaの標的国
他に公表された攻撃事例はないものの、米国に拠点を置く企業WOW!に対するArkanaの攻撃は、欧米、特に北米の組織を標的とする同社の関心の高さを示しています。彼らのアプローチは、規制の厳しい環境において確固たる地位を築いた組織に挑戦する意欲を示唆しています。
Arkanaの対象業界
Arkanaは、WideOpenWestへの最初の攻撃からも明らかなように、主に通信・インターネットサービス業界を標的としています。しかし、彼らの恐喝中心のビジネスモデルとインフラ悪用手法は、大量の個人情報(PII)や金融データを保管し、重要なバックエンドシステムを運用するあらゆる業界を攻撃する態勢が整っていることを示唆しています。
Arkanaの被害対象
現時点で確認されている唯一の被害者はWideOpenWest (WOW!)です。このグループは、
- 403,000以上の顧客口座
- AppianCloudや Symphonicaのようなバックエンドプラットフォーム
- 機密性の高い財務データおよび個人情報データ
- SSN、住所、連絡先などの役員の個人情報
これは、深刻なラテラルムーブと 特権バックエンド システム への重点を示しており、顧客のエンドポイント全体に大規模なランサムウェアの展開が可能になる可能性があります。
Arkanaの攻撃テクニック
おそらく、未修正の脆弱性やフィッシングなどにより、インターネットに接続されたシステムを悪用したり、資格情報を侵害したりすることで達成されると考えられます。
AppianCloud などのバックエンド プラットフォーム内で昇格された権限を取得し、プラットフォーム固有の誤った構成や認証バイパスを悪用した可能性があります。
WOW! の内部システムへの長時間アクセスを維持しながら検出を回避しました。ログ記録を無効にしたり、アクセス パターンを難読化したりした可能性があります。
ユーザー名、パスワード、セキュリティの質問の回答など、広範な資格情報にアクセスし、ラテラルムーブと永続化に使用しました。
内部サービスと API (課金、顧客データなど) をマッピングし、Symphonica や Appian などの価値の高いターゲットを特定しました。
課金 API、CRM システム、および Symphonica 経由で制御されるデバイスを含む内部システム全体に伝播されます。
顧客向けシステムから、個人情報(PII)、認証データ、バックエンド コードなどの大量のデータが盗み出されました。
Symphonica 経由で顧客のデバイスに マルウェアをプッシュ する機能を主張しました。バックエンド アクセス経由のカスタム スクリプトまたはペイロードが関係している可能性があります。
データは時間の経過とともに抽出され、サニタイズされたサンプルやスクリーンショットの公開など、恐喝のプロセスに使用された可能性があります。
盗まれたデータの公開、役員の個人情報の暴露、評判の失墜、エンドユーザーへのマルウェア配布の可能性。
おそらく、未修正の脆弱性やフィッシングなどにより、インターネットに接続されたシステムを悪用したり、資格情報を侵害したりすることで達成されると考えられます。
AppianCloud などのバックエンド プラットフォーム内で昇格された権限を取得し、プラットフォーム固有の誤った構成や認証バイパスを悪用した可能性があります。
WOW! の内部システムへの長時間アクセスを維持しながら検出を回避しました。ログ記録を無効にしたり、アクセス パターンを難読化したりした可能性があります。
ユーザー名、パスワード、セキュリティの質問の回答など、広範な資格情報にアクセスし、ラテラルムーブと永続化に使用しました。
内部サービスと API (課金、顧客データなど) をマッピングし、Symphonica や Appian などの価値の高いターゲットを特定しました。
課金 API、CRM システム、および Symphonica 経由で制御されるデバイスを含む内部システム全体に伝播されます。
顧客向けシステムから、個人情報(PII)、認証データ、バックエンド コードなどの大量のデータが盗み出されました。
Symphonica 経由で顧客のデバイスに マルウェアをプッシュ する機能を主張しました。バックエンド アクセス経由のカスタム スクリプトまたはペイロードが関係している可能性があります。
データは時間の経過とともに抽出され、サニタイズされたサンプルやスクリーンショットの公開など、恐喝のプロセスに使用された可能性があります。
盗まれたデータの公開、役員の個人情報の暴露、評判の失墜、エンドユーザーへのマルウェア配布の可能性。
Arkanaが使用するTTP
Vectra AIでArkanaを検知する方法
よくある質問 (FAQ)
Arkanaとは何か、他のランサムウェアグループとどう違うのか?
Arkanaは新たに確認されたランサムウェアグループで、3段階の恐喝モデルを備えています:身代金、販売、リーク。従来のランサムウェアに攻撃的なDoxingや風評攻撃を組み合わせています。
Arkanaは既知のサイバー犯罪グループと関係がありますか?
関連性は確認されていないが、言葉遣いや手口から、ロシアが起源であるか、東欧のサイバー犯罪エコシステムと連携している可能性が示唆されている。
WOW!に対する攻撃の範囲はどのようなものだったのか?
Arkanaは、バックエンドのインフラに侵入し、40万3,000以上の顧客アカウントを流出させ、シンフォニカや アピアンクラウドのようなプラットフォームをコントロールしたと主張している。
Arkanaはどのようにして最初のアクセスを得たのですか?
未確認ではあるが、以下のような方法が考えられる。 フィッシング、クレデンシャル・スタッフィング、パッチが適用されていない公開システムの悪用などが考えられる。
盗まれたデータの種類は?
データには、ユーザー名、パスワード、SSN、クレジットカード情報、サービスパッケージの詳細、Firebase ID、電子メール通信の設定が含まれます。
Arkanaは実際のランサムウェアを配備したのか?
彼らはデータ恐喝グループとして活動しているが、顧客のマルウェア を送り込むことも可能だと主張しており、これはランサムウェアの展開が可能なことを示唆している。
このような攻撃に対して、組織はどのように検知 し、対応すればよいのか。
Vectra AIのような脅威検知・対応ソリューション を導入する。異常なAPI呼び出し、不正アクセス、異常なデータ流出を監視する。zero trust と多要素認証(MFA)を適用する。
Arkanaはまだ現役ですか?
現在のところ、彼らのオニオン・サイトは稼動しており、被害者としてWOW!をリストアップしているだけだが、彼らのインフラは継続的な活動と将来の攻撃を示唆している。
Arkanaの被害者の法的リスクは?
被害者は、盗まれたデータの性質上、規制上の罰金(HIPAA、GDPRなど)、影響を受けた顧客からの訴訟、集団訴訟責任に直面する可能性がある。
被害を受けた場合、個人は何ができるのか?
WOW!の顧客はそうあるべきだ:
- クレジット・モニタリングの有効化
- パスワードとセキュリティ質問を変更する
- フィッシングの試みと不正なアカウントアクセスを監視する