RansomHubの由来
2024年2月に登場したこのグループは、LockBitやALPHV といった 他のランサムウェアグループの著名なアフィリエイトを活用し、210人以上の被害者からデータを暗号化・流出させた。RansomHubの作戦は二重恐喝モデルに焦点を当てており、アフィリエイトがシステムを暗号化しデータを流出させ、身代金が支払われない場合は盗んだデータを公開すると脅迫する。 同グループは専門性と高度な技術力で知られていた。RansomHubの活動は2025年3月を最後に確認されていない。
RansomHubの標的国
ランサムハブは世界規模で活動し、被害者は主に米国と欧州に集中し、重要インフラや主要産業を標的としていた。
同グループは、独立国家共同体(CIS)、キューバ、北朝鮮、中国を標的から外していると主張した。これはおそらく、活動上の安全な避難場所や法的保護が存在するからである。
RansomHubが標的とする業界
RansomHubは幅広い業種をターゲットにしており、中でもビジネスサービス、小売業、製造業が上位を占めている。その他にも、教育サービス、政府、金融、建設、ヘルスケア、テクノロジー、重要インフラなど、頻繁に影響を受けている。このグループが重要なセクターに焦点を当てていることは、その幅広い活動範囲を浮き彫りにしており、公共団体と民間団体の両方に重大な脅威をもたらしている。
このグループは効率的であるにもかかわらず、非営利団体をターゲットにしていないと主張している。
RansomHubの被害者
ランサムハブが出現して以来、844以上の組織が被害に遭っており、特に医療システムや政府施設を含む公共インフラが標的となっている。これらの攻撃は重要なサービスを妨害し、重大な業務停止と多額の身代金要求を引き起こした。
RansomHubの攻撃手法
ランサムハブのアフィリエイトは フィッシング メール、脆弱性の悪用、パスワードスプレー攻撃によってアクセス権を取得しました。悪用された代表的な脆弱性には、CVE-2023-3519(Citrix ADC)、CVE-2023-27997(Fortinet)、CVE-2020-1472(Netlogon特権昇格)が含まれます。
侵入後、アフィリエイトはMimikatzなどのツールを用いて権限を昇格させ、侵害されたシステムを完全に制御可能にした。
彼らはセキュリティツールを無効化し、ログを消去し、ランサムウェアの実行ファイルをシステムファイルに紛れ込ませるよう名前を変更し、検知を回避した。
アフィリエイトは、認証情報ダンプツールとパスワードスプレー攻撃を用いて、高価値システムへのアクセス権を得るための管理者認証情報を収集した。
ネットワーク偵察は、NmapやPowerShellなどのツールを用いて実施され、価値ある標的を特定し、さらなる悪用を計画した。
アフィリエイトはリモートデスクトッププロトコル(RDP)、PsExec、AnyDeskなどのツールを用いて横方向に移動し、ネットワーク内の追加システムへのアクセス権を取得した。
機密データはRcloneやWinSCPなどのツールを用いて流出させられ、多くの場合二重恐喝を目的としており、盗まれたデータが身代金交渉における圧力手段として利用された。
ランサムウェアは被害者のネットワーク全体で実行され、Curve 25519楕円曲線暗号を用いてファイルを暗号化した。
データは暗号化プロトコル、クラウドアカウント、または攻撃者が制御するサーバーへの直接転送を通じて流出された。
ランサムハブの暗号化により被害システムは使用不能となり、多くの場合、長期間の業務停止を招いた。アフィリエイトは復旧作業を妨げるためバックアップやボリュームシャドウコピーを削除し、身代金支払いを迫る圧力を最大化した。
ランサムハブのアフィリエイトは フィッシング メール、脆弱性の悪用、パスワードスプレー攻撃によってアクセス権を取得しました。悪用された代表的な脆弱性には、CVE-2023-3519(Citrix ADC)、CVE-2023-27997(Fortinet)、CVE-2020-1472(Netlogon特権昇格)が含まれます。
侵入後、アフィリエイトはMimikatzなどのツールを用いて権限を昇格させ、侵害されたシステムを完全に制御可能にした。
彼らはセキュリティツールを無効化し、ログを消去し、ランサムウェアの実行ファイルをシステムファイルに紛れ込ませるよう名前を変更し、検知を回避した。
アフィリエイトは、認証情報ダンプツールとパスワードスプレー攻撃を用いて、高価値システムへのアクセス権を得るための管理者認証情報を収集した。
ネットワーク偵察は、NmapやPowerShellなどのツールを用いて実施され、価値ある標的を特定し、さらなる悪用を計画した。
アフィリエイトはリモートデスクトッププロトコル(RDP)、PsExec、AnyDeskなどのツールを用いて横方向に移動し、ネットワーク内の追加システムへのアクセス権を取得した。
機密データはRcloneやWinSCPなどのツールを用いて流出させられ、多くの場合二重恐喝を目的としており、盗まれたデータが身代金交渉における圧力手段として利用された。
ランサムウェアは被害者のネットワーク全体で実行され、Curve 25519楕円曲線暗号を用いてファイルを暗号化した。
データは暗号化プロトコル、クラウドアカウント、または攻撃者が制御するサーバーへの直接転送を通じて流出された。
ランサムハブの暗号化により被害システムは使用不能となり、多くの場合、長期間の業務停止を招いた。アフィリエイトは復旧作業を妨げるためバックアップやボリュームシャドウコピーを削除し、身代金支払いを迫る圧力を最大化した。
RansomHubが使用するTTP
よくあるご質問(FAQ)
RansomHubは主にどのような業界をターゲットにしていますか?
RansomHubは、ヘルスケア、金融サービス、政府施設などの重要インフラ部門を攻撃する。
RansomHubの影響を最も受けている国は?
このグループは主に米国とヨーロッパの組織を標的にしており、CIS諸国、キューバ、北朝鮮、中国は避けている。
RansomHubはどのようにして最初のアクセスを得るのですか?
アフィリエイトは、既知の脆弱性を悪用し、フィッシング攻撃を使用し、盗んだ認証情報を活用してシステムに侵入する。
RansomHubのデータ流出方法とは?
彼らはRcloneやWinSCPのようなツールを使って、暗号化されたチャンネル経由で機密データを流出させる。
RansomHub はどのようにしてネットワーク内の権限をエスカレートさせるのですか?
アフィリエイトはMimikatzのようなツールを使って認証情報を取り出し、システムレベルの特権にエスカレートする。
RansomHub はどのような暗号化方式を採用していますか?
RansomHubの関連会社は、Curve 25519楕円曲線暗号を使って被害者のファイルをロックする。
RansomHub のアフィリエイトはどのようにして検出を回避するのですか?
セキュリティツールを無効にし、ログを消去し、ランサムウェアの実行ファイルの名前を変更して正規のファイルに紛れ込ませる。
RansomHubはラテラルムーブにどのようなツールを使っていますか?
リモート・デスクトップ・プロトコル(RDP)、AnyDesk、PsExecなどのツールは、侵害されたネットワーク内でラテラルムーブするために使用されます。
RansomHub攻撃を防ぐには、どのような緩和策が有効か?
フィッシング耐性のある多要素認証 (MFA) の導入、脆弱性へのパッチ適用、ネットワークのセグメント化は、重要な緩和戦略である。
RansomHub攻撃の影響は?
被害者はしばしば、暗号化とバックアップの削除による大幅なダウンタイムとデータ損失を経験し、業務麻痺と高額な身代金要求につながる。