忍びの起源
グループの名称は、忍び(忍者)という日本語を様式化したもので、侵入時のステルス性と精密性を重視する姿勢を反映している。このテーマ性のあるブランディングにもかかわらず、脅威インテリジェンス分析によれば、言語的痕跡、活動パターン、標的回避行動から、シノビのオペレーターはロシアまたは東欧出身と推定されている。
シノビは閉鎖的なハイブリッド型ランサムウェア・アズ・ア・サービス(RaaS)モデルで運営されている。少数のコアチームがランサムウェアのコードベース、インフラ、交渉ポータル、財務業務を維持管理し、厳格に審査された提携組織が侵入活動を実施する。オープンなRaaSエコシステムとは異なり、シノビは提携組織を公募せず、急速な拡大よりも運用上のセキュリティと信頼を重視している。
複数の技術的・インフラ的重複から、SinobiはLynxランサムウェアグループのブランド変更または直接の後継者である可能性が高い。Lynxグループ自体も、より古いINCランサムウェアからコードを継承している。Sinobiの暗号化モジュールはBabuk由来の暗号設計(Curve25519 ECDHとAES-128-CTRの組み合わせ)を流用しており、コードの再利用と経験豊富な開発者の存在を示唆している。 全体として、Sinobiは国家支援型アクターではなく、金銭的動機を持つが高度に専門的なランサムウェア組織である。
シノビが標的とする国々
既知の被害者の大半は米国に所在し、カナダ、英国、オーストラリア、イスラエル、およびアジア太平洋地域の一部でも活動が確認されている。Sinobiは一貫してロシアおよび東欧の被害者を回避しており、これはロシア語圏のサイバー犯罪グループに共通する自己保存戦略である。
シノビが対象とする産業
シノビは主に製造業および工業生産組織を標的とし、次いで建設、エンジニアリング、金融サービス、医療、教育分野を標的とする。これらの分野が選ばれる理由は、ダウンタイムに対する許容度が低く、データ漏洩が規制上の問題や評判の低下につながるためである。同グループは小規模企業を標的から外しており、これは身代金獲得の可能性が限られているためと考えられる。
シノビの犠牲者たち
被害者は通常、年間収益が1000万~5000万ドル の中堅から大企業である。2025年第3四半期時点で、Sinobiの漏洩インフラ上に約40件の被害事例が確認されている。特定産業への偏りは認められないが、法執行機関の注目を避けるため、政府機関や重要インフラは概ね標的から外されている。
シノビの攻撃方法
シノビは主に有効な認証情報を悪用して初期アクセスを獲得する。その大半は初期アクセスブローカーから購入したVPNやRDPログイン情報、あるいは過去の侵害で収集した情報である。シノビはまた フィッシング キャンペーンを実施して認証情報を窃取したりmalware を展開malware SonicWall SSL-VPNアプライアンスやパッチ未適用の境界デバイスなど、インターネットに公開されたインフラの脆弱性を積極的に悪用します。場合によっては、信頼されたサードパーティやMSP(マネージドサービスプロバイダー)へのアクセス権を悪用し、被害者環境への展開拠点とします。
Sinobiは初期アクセス直後に、Windowsの組み込み管理機能を悪用して権限を昇格させる。Sinobiは頻繁に新しいローカル管理者アカウントを作成するか、既存アカウントを昇格させ、侵害されたシステムに対する制限のない制御を確保する。
Sinobiは、エンドポイント保護ツールを無効化し、ファイアウォールの設定を変更し、ログを消去し、バックアップを削除することで、積極的に検知を回避します。また、シャドウコピーを削除し、攻撃者の活動に対する可視性を低下させることで、復旧メカニズムを損ないます。
シノビは侵害されたシステムから認証情報を収集し、横方向の移動を容易にする。特定のツールが常に確認されるわけではないが、シノビは認証情報の再利用と環境内に既に存在する管理者権限に大きく依存している。
Sinobiはカスタムスクリプトとネイティブシステムコマンドを用いて広範な内部偵察を実施する。SinobiはActive Directoryの列挙、特権ユーザーの特定、ネットワーク共有のマッピング、セキュリティツールの検出、ファイルサーバー・メールサーバー・バックアップシステムなどの高価値サーバーの特定を行う。
シノビはRDPとSMBを介してネットワーク内を横方向に移動し、盗まれたまたは再利用された認証情報で認証を行う。シノビは「現地資源活用型」手法を好み、悪意のある活動を正当な管理トラフィックに溶け込ませることでアラート発生を回避する。
シノビは暗号化前に機密データを収集します。これには文書、データベース、メールアーカイブ、バックアップが含まれます。シノビは知的財産、顧客データ、規制対象記録など、脅迫の材料となる情報を優先的に収集します。
シノビは、十分なアクセス権とデータ収集が完了すると、手動またはスクリプトによる展開でランサムウェアのペイロードを実行する。通常、検知と対応を遅らせるため、業務時間外に実行が行われる。
Sinobiは、RcloneやセキュアFTPクライアントなどの正規ツールを用いて盗んだデータを外部に流出させる。Sinobiは暗号化された経路でデータを転送し、頻繁にTorベースのインフラや匿名化されたウェブサービスを活用して転送先を隠蔽する。
Sinobiは強力な暗号技術でファイルを暗号化し、カスタム拡張子を付加し、ボリュームシャドウコピーを削除し、重要なサービスを終了させ、環境全体に身代金要求メッセージを配置します。さらにデスクトップ壁紙を変更して攻撃の可視性を確保し、支払いがなされない場合公開データ開示を脅迫することで二重恐喝を開始します。
シノビは主に有効な認証情報を悪用して初期アクセスを獲得する。その大半は初期アクセスブローカーから購入したVPNやRDPログイン情報、あるいは過去の侵害で収集した情報である。シノビはまた フィッシング キャンペーンを実施して認証情報を窃取したりmalware を展開malware SonicWall SSL-VPNアプライアンスやパッチ未適用の境界デバイスなど、インターネットに公開されたインフラの脆弱性を積極的に悪用します。場合によっては、信頼されたサードパーティやMSP(マネージドサービスプロバイダー)へのアクセス権を悪用し、被害者環境への展開拠点とします。
Sinobiは初期アクセス直後に、Windowsの組み込み管理機能を悪用して権限を昇格させる。Sinobiは頻繁に新しいローカル管理者アカウントを作成するか、既存アカウントを昇格させ、侵害されたシステムに対する制限のない制御を確保する。
Sinobiは、エンドポイント保護ツールを無効化し、ファイアウォールの設定を変更し、ログを消去し、バックアップを削除することで、積極的に検知を回避します。また、シャドウコピーを削除し、攻撃者の活動に対する可視性を低下させることで、復旧メカニズムを損ないます。
シノビは侵害されたシステムから認証情報を収集し、横方向の移動を容易にする。特定のツールが常に確認されるわけではないが、シノビは認証情報の再利用と環境内に既に存在する管理者権限に大きく依存している。
Sinobiはカスタムスクリプトとネイティブシステムコマンドを用いて広範な内部偵察を実施する。SinobiはActive Directoryの列挙、特権ユーザーの特定、ネットワーク共有のマッピング、セキュリティツールの検出、ファイルサーバー・メールサーバー・バックアップシステムなどの高価値サーバーの特定を行う。
シノビはRDPとSMBを介してネットワーク内を横方向に移動し、盗まれたまたは再利用された認証情報で認証を行う。シノビは「現地資源活用型」手法を好み、悪意のある活動を正当な管理トラフィックに溶け込ませることでアラート発生を回避する。
シノビは暗号化前に機密データを収集します。これには文書、データベース、メールアーカイブ、バックアップが含まれます。シノビは知的財産、顧客データ、規制対象記録など、脅迫の材料となる情報を優先的に収集します。
シノビは、十分なアクセス権とデータ収集が完了すると、手動またはスクリプトによる展開でランサムウェアのペイロードを実行する。通常、検知と対応を遅らせるため、業務時間外に実行が行われる。
Sinobiは、RcloneやセキュアFTPクライアントなどの正規ツールを用いて盗んだデータを外部に流出させる。Sinobiは暗号化された経路でデータを転送し、頻繁にTorベースのインフラや匿名化されたウェブサービスを活用して転送先を隠蔽する。
Sinobiは強力な暗号技術でファイルを暗号化し、カスタム拡張子を付加し、ボリュームシャドウコピーを削除し、重要なサービスを終了させ、環境全体に身代金要求メッセージを配置します。さらにデスクトップ壁紙を変更して攻撃の可視性を確保し、支払いがなされない場合公開データ開示を脅迫することで二重恐喝を開始します。