Brain Cipher
Brain Cipher ランサムウェアはLockBitランサムウェアファミリーの亜種で、最近インドネシアのサイバーセキュリティ事情に出現した。
その起源Brain Cipher
Brain Cipher ランサムウェア・グループは、2024年6月20日にインドネシアの国立データ・センター(Pusat Data Nasional - PDN)を攻撃し、出入国管理などの重要な公共サービスを停止させたことで注目を集めた。
2024年7月2日に発表された声明の中で、このグループは、自分たちの攻撃は、サイバーセキュリティ産業への資金調達と有能な専門家の採用の重要性を示すものであると強調し、自分たちの行動は政治的な動機によるものではなく、むしろ後払いの侵入テストの一形態であると主張した。
同グループは約束を守り、復号鍵を無償で入手できるようにしたため、被害者は身代金を支払うことなく暗号化されたデータを復元できるようになった。
対象国Brain Cipher
このランサムウェア・グループは、これまで東南アジア、特にインドネシアの組織を好んで標的にしてきた。しかし、米国とイスラエルの被害者を狙った最近の攻撃で、彼らの活動がこの地域以外にも拡大していることが明らかになった。
対象産業Brain Cipher
Brain Cipher ランサムウェアは主に公共部門を標的としており、特に重要なインフラに重点を置いている。最近では、金融や製造業にも攻撃の対象を広げている。PDNへの攻撃は、重要なサービスを混乱させ、広範囲に混乱を引き起こし、公共の安全に影響を与えるグループの能力を実証した。
Brain Cipher犠牲者
Brain Cipher ランサムウェアの被害者として現在最も注目されているのは、インドネシアのPusat Data Nasional(PDN)である。この攻撃により、入国管理サービスやその他の公共サービスが中断され、210の機関に影響が及んだ。同グループの被害状況の全容については、現在も調査中である。
Brain Cipher攻撃方法
Brain Cipher ランサムウェアは、フィッシングキャンペーンを通じて最初のアクセスを獲得します。詐欺的な電子メールは、受信者を騙して悪意のあるファイルをダウンロードさせ、実行させます。
このランサムウェアは、ユーザーアカウント制御(T1548.002)をバイパスし、標的となるシステム内で昇格した権限を獲得します。
権限昇格のテクニックと同様に、セキュリティシステムによる検出を回避するために、ユーザーアカウント制御(T1548.002)をバイパスします。
Brain Cipher ウェブセッションクッキー(T1539)、ウェブブラウザの認証情報(T1555.003)、ファイルに保存された認証情報(T1552.001)を盗み、さらにネットワークに侵入する。
Brain Cipher は、システム情報の検出(T1082)、レジストリのクエリ(T1012)、インストールされたソフトウェアの検出(T1518)を実行し、感染した環境をマッピングする。
ランサムウェアはネットワーク内で横方向に移動し、その影響を最大化するが、この段階での具体的なテクニックは詳しく説明されていない。
感染したシステムから機密情報を収集し、潜在的なデータ流出に備える。
Brain Cipher Windowsコマンドシェル(T1059.003)と悪意のあるファイルのユーザー実行(T1204.002)を使用してペイロードを実行します。
機密データを抜き取り、身代金を支払わなければ公開すると脅す二重の恐喝行為。
主な感染経路は、身代金が支払われるまで被害者のデータをアクセス不能にするデータ暗号化(T1486)である。
Brain Cipher ランサムウェアは、フィッシングキャンペーンを通じて最初のアクセスを獲得します。詐欺的な電子メールは、受信者を騙して悪意のあるファイルをダウンロードさせ、実行させます。
このランサムウェアは、ユーザーアカウント制御(T1548.002)をバイパスし、標的となるシステム内で昇格した権限を獲得します。
権限昇格のテクニックと同様に、セキュリティシステムによる検出を回避するために、ユーザーアカウント制御(T1548.002)をバイパスします。
Brain Cipher ウェブセッションクッキー(T1539)、ウェブブラウザの認証情報(T1555.003)、ファイルに保存された認証情報(T1552.001)を盗み、さらにネットワークに侵入する。
Brain Cipher は、システム情報の検出(T1082)、レジストリのクエリ(T1012)、インストールされたソフトウェアの検出(T1518)を実行し、感染した環境をマッピングする。
ランサムウェアはネットワーク内で横方向に移動し、その影響を最大化するが、この段階での具体的なテクニックは詳しく説明されていない。
感染したシステムから機密情報を収集し、潜在的なデータ流出に備える。
Brain Cipher Windowsコマンドシェル(T1059.003)と悪意のあるファイルのユーザー実行(T1204.002)を使用してペイロードを実行します。
機密データを抜き取り、身代金を支払わなければ公開すると脅す二重の恐喝行為。
主な感染経路は、身代金が支払われるまで被害者のデータをアクセス不能にするデータ暗号化(T1486)である。
が使用するTTPBrain Cipher
検知 Brain Cipher Vectra AIを使う方法
ランサムウェア攻撃を示すVectra AI Platform で利用可能な検出のリスト。
よくあるご質問(FAQ)
Brain Cipher ランサムウェアとは?
Brain Cipher は、大規模な組織を標的にし、データの暗号化と身代金の要求によって重大な混乱を引き起こすことで知られるランサムウェアグループである。
Brain Cipher ランサムウェアはどのようにして初期アクセスを得るのか?
同グループは主にフィッシング、被害者を騙して悪質なファイルをダウンロードさせ、実行させるキャンペーンを行っている。
Brain Cipher 攻撃のリスクが最も高いのはどの部門か?
インドネシアのナショナル・データ・センターへの攻撃で明らかなように、公共部門や重要インフラは高いリスクにさらされている。
Brain Cipher 、組織はどのような防御策を講じることができるだろうか?
フィッシングの意識向上トレーニングを実施し、高度なエンドポイントプロテクションを使用し、最新のセキュリティパッチを維持することで、リスクを軽減することができる。
Brain Cipher ランサムウェアはどのようにして検知を逃れるのか?
ユーザーアカウント制御を回避し、Windowsコマンドシェルのような正当なシステムツールを使用して検出を回避する。
Brain Cipher に感染した場合、組織は何をすべきなのか?
身代金の支払いを検討する前に、影響を受けたシステムを隔離し、法執行機関に通知し、サイバーセキュリティの専門家に相談する。
Brain Cipher はデータ流出を行っているのか?
そう、Brain Cipher 、データを流出させ、身代金を支払わなければデータを公開すると脅すことで、二重の恐喝を行っているのだ。
インドネシア国家データセンターへの攻撃はどの程度重大だったのか?
この攻撃は、入国管理サービスを中断させ、210の機関に影響を与え、ランサムウェアの大規模な影響力を浮き彫りにした。
Extended Detection and Response (XDR) ソリューションは、Brain Cipher に対抗する上でどのような役割を果たすのでしょうか?
XDR ソリューションは、包括的な脅威検知とレスポンス 機能を提供し、Brain Cipher のようなランサムウェア攻撃の特定と軽減を支援します。
Brain Cipher ランサムウェアは他のランサムウェアグループと共通点があるか?
Brain Cipher ランサムウェアには、高度な暗号化技術や二重の恐喝戦略など、LockBit 3.0 といくつかの共通点があります。