Braincipher
Braincipherランサムウェアは、インドネシアのサイバーセキュリティ環境で最近出現したLockBitランサムウェアファミリーの亜種です。
Brain Cipherの起源
Brain Cipherランサムウェア・グループは、2024年6月20日にインドネシアの国立データセンター(Pusat Data Nasional - PDN)に対して大規模な攻撃を仕掛け、入国管理を含む重要な公共サービスの混乱を引き起こしたことで、広く注目を集めました。
同グループは2024年7月2日に発表した声明の中で、自分たちの攻撃はサイバーセキュリティ業界への資金提供と有能な専門家の採用の重要性を示すものであると強調し、自分たちの行動は政治的動機によるものではなく、支払い後の侵入テストの一形態であると主張した。
同グループは約束を守り、復号鍵を無償で提供し、被害者が身代金を支払うことなく暗号化されたデータを復元できるようにした。
Brain Cipherの標的国
このランサムウェアグループはこれまで、東南アジア、特にインドネシアの組織を標的とすることが多かったのですが、米国とイスラエルの被害者に対する最近の攻撃を見ると、活動がこの地域を越えて拡大していることが明らかになっています。
Brain Cipherの対象業界
Brain Cipherランサムウェアは主に公共部門を標的とし、特に重要インフラに重点を置いています。最近では金融セクターと製造業にも攻撃を拡大しています。PDNへの攻撃は、このグループが重要なサービスを妨害し、広範囲にわたる混乱を引き起こし、公共の安全に影響を与える能力を実証しました。
Brain Cipherの犠牲者
Brain Cipherランサムウェアのこれまでの最も注目すべき被害者は、インドネシアのPusat Data Nasional(PDN)です。この攻撃により、出入国管理局をはじめとする公共サービスが混乱に陥り、210の機関が影響を受けました。このグループの被害状況の全容は現在も調査中です。
Brain Cipherの攻撃方法
Brain Cipher ランサムウェアは、フィッシングキャンペーンを通じて最初のアクセスを獲得します。詐欺的な電子メールは、受信者を騙して悪意のあるファイルをダウンロードさせ、実行させます。
このランサムウェアは、ユーザーアカウント制御(T1548.002)をバイパスし、標的となるシステム内で昇格した権限を獲得します。
権限昇格のテクニックと同様に、セキュリティシステムによる検出を回避するために、ユーザーアカウント制御(T1548.002)をバイパスします。
Brain Cipher は、Web セッション クッキー (T1539)、Web ブラウザーからの資格情報 (T1555.003)、およびファイルに保存された資格情報 (T1552.001) を盗み、ネットワークにさらに侵入します。
Brain Cipher は、システム情報の検出 (T1082)、レジストリのクエリ (T1012)、インストールされているソフトウェアの検出 (T1518) を実行して、感染した環境をマッピングします。
ランサムウェアはネットワーク内を横方向に移動してその影響を最大化しますが、この段階での具体的な手法は詳細に説明されていません。
感染したシステムから機密情報を収集し、潜在的なデータ流出に備えます。
Brain Cipher Windowsコマンドシェル (T1059.003) と悪意のあるファイルのユーザー実行 (T1204.002) を使用してペイロードを実行します。
機密データを盗み出し、身代金を支払わない場合は公開すると脅迫することで、二重の恐喝行為を行います。
主な攻撃戦術は、身代金が支払われるまで被害者のデータにアクセスできないようにする、攻撃用データ暗号化 (T1486) です。
Brain Cipher ランサムウェアは、フィッシングキャンペーンを通じて最初のアクセスを獲得します。詐欺的な電子メールは、受信者を騙して悪意のあるファイルをダウンロードさせ、実行させます。
このランサムウェアは、ユーザーアカウント制御(T1548.002)をバイパスし、標的となるシステム内で昇格した権限を獲得します。
権限昇格のテクニックと同様に、セキュリティシステムによる検出を回避するために、ユーザーアカウント制御(T1548.002)をバイパスします。
Brain Cipher は、Web セッション クッキー (T1539)、Web ブラウザーからの資格情報 (T1555.003)、およびファイルに保存された資格情報 (T1552.001) を盗み、ネットワークにさらに侵入します。
Brain Cipher は、システム情報の検出 (T1082)、レジストリのクエリ (T1012)、インストールされているソフトウェアの検出 (T1518) を実行して、感染した環境をマッピングします。
ランサムウェアはネットワーク内を横方向に移動してその影響を最大化しますが、この段階での具体的な手法は詳細に説明されていません。
感染したシステムから機密情報を収集し、潜在的なデータ流出に備えます。
Brain Cipher Windowsコマンドシェル (T1059.003) と悪意のあるファイルのユーザー実行 (T1204.002) を使用してペイロードを実行します。
機密データを盗み出し、身代金を支払わない場合は公開すると脅迫することで、二重の恐喝行為を行います。
主な攻撃戦術は、身代金が支払われるまで被害者のデータにアクセスできないようにする、攻撃用データ暗号化 (T1486) です。
Brain Cipherが使用するTTP
Vectra AIがBrain Cipherを検知する方法
Vectra AI プラットフォームで利用可能なランサムウェア攻撃を示す検知
よくある質問 (FAQ)
Brain Cipher ランサムウェアとは?
Brain Cipher は、大規模な組織を標的にし、データの暗号化と身代金の要求によって重大な混乱を引き起こすことで知られるランサムウェアグループである。
Brain Cipher ランサムウェアはどのようにして初期アクセスを得るのか?
同グループは主にフィッシング、被害者を騙して悪質なファイルをダウンロードさせ、実行させるキャンペーンを行っている。
Brain Cipher 攻撃のリスクが最も高いのはどの部門か?
インドネシアのナショナル・データ・センターへの攻撃で明らかなように、公共部門や重要インフラは高いリスクにさらされている。
Brain Cipher に対して組織が取れる防御策は何ですか?
フィッシングの意識向上トレーニングを実施し、高度なエンドポイントプロテクションを使用し、最新のセキュリティパッチを維持することで、リスクを軽減することができる。
Brain Cipher ランサムウェアはどのようにして検知を逃れるのか?
ユーザーアカウント制御を回避し、Windowsコマンドシェルのような正当なシステムツールを使用して検出を回避する。
Brain Cipher に感染した場合、組織は何をすべきなのか?
身代金の支払いを検討する前に、影響を受けたシステムを隔離し、法執行機関に通知し、サイバーセキュリティの専門家に相談する。
Brain Cipher はデータ流出を行っているのか?
そう、Brain Cipher 、データを流出させ、身代金を支払わなければデータを公開すると脅すことで、二重の恐喝を行っているのだ。
インドネシア国家データセンターへの攻撃はどの程度重大だったのか?
この攻撃は、入国管理サービスを中断させ、210の機関に影響を与え、ランサムウェアの大規模な影響力を浮き彫りにした。
Extended Detection and Response (XDR) ソリューションは、Brain Cipher に対抗する上でどのような役割を果たすのでしょうか?
XDR ソリューションは、包括的な脅威検知とレスポンス 機能を提供し、Brain Cipher のようなランサムウェア攻撃の特定と軽減を支援します。
Brain Cipher ランサムウェアは他のランサムウェアグループと共通点があるか?
Brain Cipher ランサムウェアには、高度な暗号化技術や二重の恐喝戦略など、LockBit 3.0 といくつかの共通点があります。