サイバー攻撃速報:攻撃者はハッキングせずにログインする:MFAの盲点 > MFAの盲点

サイバー攻撃速報: 攻撃者はハッキングせずにログインする:MFAの盲点 > MFAの盲点

Vectra AI Japan、ITR発行の最新レポート内「NDR市場」にて国内トップシェアを獲得
詳細を見る
ハンバーガー・アイコン・トップライン
ハンバーガーアイコン中線
ハンバーガーアイコン
cybercriminels
>
ランサムウェア・グループ

アルカナセキュリティ

Arkanaは、米国の大手ケーブル・ブロードバンド・プロバイダーであるWideOpenWest(WOW!)

検知アルカナのTTP
あなたの組織はArkanaランサムウェア攻撃から安全ですか?
背景
ターゲット
TTP
検知
よくあるご質問(FAQ)
脅威ブリーフィングを見る

アルカナの生い立ち

Arkanaは、米国の大手ケーブル・ブロードバンド・プロバイダーであるWideOpenWest(WOW!)最近出現したにもかかわらず、このグループの運用が洗練されていることから、経験豊富な脅威行為者によって運営されている可能性があります。Arkanaは、3段階のランサムウェア・モデル(身代金、販売、リーク)を使用しており、恐喝と強制的な戦術に重点を置いています。オニオン・サイトや通信で使用されている言語は、ロシアが起源または関連会社である可能性を示唆しているが、これはまだ決定的に検証されていない。

彼らの戦略は技術的なものだけでなく心理的なものでもあり、被害者への圧力を強めるために辱め戦術や企業のDoxingに頼っている。同グループが「恥の壁」を公開し、Doxingされた経営陣の情報を拡散することは、恐喝計画の一環として風評攻撃へのシフトを示すものである。

イメージSOCradar

アルカナの生い立ち
ターゲット

アルカナの目標

アルカナの対象国

他の攻撃は公表されていないが、米国を拠点とする企業であるWOW!に対するArkanaの攻撃は、欧米、特に北米の企業を標的とする彼らの関心を示している。彼らのアプローチは、高度に規制された環境で確立された組織に挑戦する意思を示唆している。

アルカナの対象産業

Arkanaは、WideOpenWestに対する最初の攻撃で知られるように、主に通信およびインターネットサービス業界を標的としてきました。しかし、彼らの恐喝を中心としたモデルとインフラ悪用のテクニックは、大量の個人情報、財務データを保存し、重要なバックエンドシステムを運用するあらゆる業界を攻撃するのに有利な立場にあることを示唆しています。

アルカナの対象産業

Arkanaは、WideOpenWestに対する最初の攻撃で知られるように、主に通信およびインターネットサービス業界を標的としてきました。しかし、彼らの恐喝を中心としたモデルとインフラ悪用のテクニックは、大量の個人情報、財務データを保存し、重要なバックエンドシステムを運用するあらゆる業界を攻撃するのに有利な立場にあることを示唆しています。

アルカナの犠牲者

現時点で確認されている唯一の被害者は、WideOpenWest(WOW!)へのアクセスを主張している:

  • 403,000以上の顧客口座
  • AppianCloudや Symphonicaのようなバックエンドプラットフォーム
  • 機密性の高い財務データおよび個人情報データ
  • SSN、住所、連絡先などの役員の個人情報

これは、横方向への深い動きと、特権を持つバックエンドシステムに重点が置かれていることを示しており顧客のエンドポイント全体でランサムウェアを大規模に展開できる可能性があります。

攻撃方法

アルカナの攻撃テクニック

初期アクセス
特権エスカレーション
防御回避
クレデンシャル・アクセス
ディスカバリー
横の動き
コレクション
実行
データ流出
インパクト
コンピューター、スマートフォン、タブレット端末など、さまざまなデバイスで埋め尽くされたデジタルの風景に広い網をかける影のような人物。この網は、脆弱性を見つけたり、フィッシングのテクニックを使って不正アクセスを試みる攻撃者を象徴している。

おそらく、インターネットに接続されたシステムや漏洩した認証情報を悪用し、パッチが適用されていない脆弱性やphishing達成される。

基本的なユーザーアイコンから、管理者権限を象徴する王冠に向かって上に伸びるデジタル梯子。これは、攻撃者がシステム内でより高いレベルのアクセス権を得ようとする努力を表している。

AppianCloud のようなバックエンドプラットフォームで昇格した権限を獲得。プラットフォーム固有の設定ミスや認証バイパスを悪用した可能性が高い。

デジタルの背景に溶け込むカメレオン、その周囲を流れる0と1。これは、通常のネットワーク・トラフィックに紛れるように戦術を変え、セキュリティ対策による検知を回避する攻撃者の能力を表している。

WOW!の内部システムへの長時間のアクセスを維持しながら、検知を回避。おそらくロギングを無効にするか、アクセスパターンを難読化した。

ログインフォームのような形をした巨大な鍵穴で作業する鍵開け道具を持った泥棒は、不正アクセスを得るためにユーザー認証情報を盗もうとする攻撃者の努力を表している。

ユーザー名、パスワード、セキュリティー質問の回答を含む幅広い認証情報にアクセス。

拡大鏡がネットワークのデジタルマップ上を移動し、ファイル、フォルダ、ネットワーク接続をハイライトする。この画像は、攻撃者が環境を探索し、構造や貴重なデータが存在する場所を理解する段階を表しています。

社内サービスとAPI(課金、顧客データなど)をマッピングし、SymphonicaやAppianのような価値の高いターゲットを特定。

一連の相互接続されたノードと、その間をこっそりと移動する影のような人物。これは、ネットワーク内での攻撃者の動きを示しており、追加のシステムの制御を得ようとしたり、malware 。

課金API、CRMシステム、場合によってはSymphonicaを介して制御されるデバイスを含む、内部システム全体に伝播。

大きなバキュームがファイルやデータアイコン、フォルダを吸い取って、影のような人物の持つ袋に入れる。このイメージは、ターゲット・ネットワークから貴重なデータを収集するプロセスを象徴している。

顧客向けシステムから個人情報、認証データ、バックエンドコードを含む大量のデータを流出させた。

デジタル背景の前にコマンドプロンプトウィンドウが開き、悪意のあるコードが入力されている。これは、攻撃者が侵害されたシステム内で悪意のあるペイロードを実行する段階を表しています。

Symphonica経由で顧客のデバイスに malwareプッシュする能力があると主張。おそらく、バックエンドアクセス経由でカスタムスクリプトやペイロードが関与している。

一連のファイルが秘密のチャネルを通じてコン​​ピューターから頭蓋骨のラベルが付いたクラウドに送信されており、攻撃者が管理する場所へのデータの不正転送を象徴しています。

データは時間をかけて抽出され、サニタイズされたサンプルやスクリーンショットの公開など、恐喝のプロセスに使用された可能性が高い。

ひび割れた画面の背後には混沌としたデジタルの街並みが描かれており、サービスの中断、データの破壊、金銭的損失など、サイバー攻撃の破壊的影響を象徴している。

盗まれたデータの公開、経営幹部へのDoxing、風評被害、エンドユーザーへのmalware 配布の可能性。

コンピューター、スマートフォン、タブレット端末など、さまざまなデバイスで埋め尽くされたデジタルの風景に広い網をかける影のような人物。この網は、脆弱性を見つけたり、フィッシングのテクニックを使って不正アクセスを試みる攻撃者を象徴している。
初期アクセス

おそらく、インターネットに接続されたシステムや漏洩した認証情報を悪用し、パッチが適用されていない脆弱性やphishing達成される。

基本的なユーザーアイコンから、管理者権限を象徴する王冠に向かって上に伸びるデジタル梯子。これは、攻撃者がシステム内でより高いレベルのアクセス権を得ようとする努力を表している。
特権エスカレーション

AppianCloud のようなバックエンドプラットフォームで昇格した権限を獲得。プラットフォーム固有の設定ミスや認証バイパスを悪用した可能性が高い。

デジタルの背景に溶け込むカメレオン、その周囲を流れる0と1。これは、通常のネットワーク・トラフィックに紛れるように戦術を変え、セキュリティ対策による検知を回避する攻撃者の能力を表している。
防御回避

WOW!の内部システムへの長時間のアクセスを維持しながら、検知を回避。おそらくロギングを無効にするか、アクセスパターンを難読化した。

ログインフォームのような形をした巨大な鍵穴で作業する鍵開け道具を持った泥棒は、不正アクセスを得るためにユーザー認証情報を盗もうとする攻撃者の努力を表している。
クレデンシャル・アクセス

ユーザー名、パスワード、セキュリティー質問の回答を含む幅広い認証情報にアクセス。

拡大鏡がネットワークのデジタルマップ上を移動し、ファイル、フォルダ、ネットワーク接続をハイライトする。この画像は、攻撃者が環境を探索し、構造や貴重なデータが存在する場所を理解する段階を表しています。
ディスカバリー

社内サービスとAPI(課金、顧客データなど)をマッピングし、SymphonicaやAppianのような価値の高いターゲットを特定。

一連の相互接続されたノードと、その間をこっそりと移動する影のような人物。これは、ネットワーク内での攻撃者の動きを示しており、追加のシステムの制御を得ようとしたり、malware 。
横の動き

課金API、CRMシステム、場合によってはSymphonicaを介して制御されるデバイスを含む、内部システム全体に伝播。

大きなバキュームがファイルやデータアイコン、フォルダを吸い取って、影のような人物の持つ袋に入れる。このイメージは、ターゲット・ネットワークから貴重なデータを収集するプロセスを象徴している。
コレクション

顧客向けシステムから個人情報、認証データ、バックエンドコードを含む大量のデータを流出させた。

デジタル背景の前にコマンドプロンプトウィンドウが開き、悪意のあるコードが入力されている。これは、攻撃者が侵害されたシステム内で悪意のあるペイロードを実行する段階を表しています。
実行

Symphonica経由で顧客のデバイスに malwareプッシュする能力があると主張。おそらく、バックエンドアクセス経由でカスタムスクリプトやペイロードが関与している。

一連のファイルが秘密のチャネルを通じてコン​​ピューターから頭蓋骨のラベルが付いたクラウドに送信されており、攻撃者が管理する場所へのデータの不正転送を象徴しています。
データ流出

データは時間をかけて抽出され、サニタイズされたサンプルやスクリーンショットの公開など、恐喝のプロセスに使用された可能性が高い。

ひび割れた画面の背後には混沌としたデジタルの街並みが描かれており、サービスの中断、データの破壊、金銭的損失など、サイバー攻撃の破壊的影響を象徴している。
インパクト

盗まれたデータの公開、経営幹部へのDoxing、風評被害、エンドユーザーへのmalware 配布の可能性。

MITRE ATT&CK マッピング

アルカナが使用したTTP

TA0001: Initial Access
T1566
Phishing
T1190
Exploit Public-Facing Application
TA0002: Execution
T1059
Command and Scripting Interpreter
TA0003: Persistence
No items found.
TA0004: Privilege Escalation
T1068
Exploitation for Privilege Escalation
TA0005: Defense Evasion
T1027
Obfuscated Files or Information
TA0006: Credential Access
T1110
Brute Force
T1003
OS Credential Dumping
TA0007: Discovery
T1087
Account Discovery
T1046
Network Service Discovery
TA0008: Lateral Movement
T1210
Exploitation of Remote Services
TA0009: Collection
T1213
Data from Information Repositories
TA0011: Command and Control
No items found.
TA0010: Exfiltration
T1567
Exfiltration Over Web Service
TA0040: Impact
T1485
Data Destruction
T1486
Data Encrypted for Impact
プラットフォーム検出

Vectra AIでアルカナを検知 方法

Brute-Force

Privilege Anomaly: Unusual Host

Ransomware File Activity

もっと見る
攻撃の危険性を評価する

よくあるご質問(FAQ)

Arkanaとは何か、他のランサムウェアグループとどう違うのか?

Arkanaは新たに確認されたランサムウェアグループで、3段階の恐喝モデルを備えています:身代金、販売、リーク。従来のランサムウェアに攻撃的なDoxingや風評攻撃を組み合わせています。

アルカナは既知のサイバー犯罪グループと関係がありますか?

関連性は確認されていないが、言葉遣いや手口から、ロシアが起源であるか、東欧のサイバー犯罪エコシステムと連携している可能性が示唆されている。

WOW!に対する攻撃の範囲はどのようなものだったのか?

アルカナは、バックエンドのインフラに侵入し、40万3,000以上の顧客アカウントを流出させ、シンフォニカや アピアンクラウドのようなプラットフォームをコントロールしたと主張している。

アルカナはどのようにして最初のアクセスを得たのですか?

未確認ではあるが、以下のような手口が考えられる。 phishingクレデンシャル・スタッフィング、あるいはパッチが適用されていない一般向けシステムを悪用したものなどが考えられる。

盗まれたデータの種類は?

データには、ユーザー名、パスワード、SSN、クレジットカード情報、サービスパッケージの詳細、Firebase ID、電子メール通信の設定が含まれます。

アルカナは実際のランサムウェアを配備したのか?

彼らはデータ強奪グループとして活動しているが、顧客のデバイスにmalware プッシュすることもできると主張しており、ランサムウェアの展開が可能であることを示唆している。

このような攻撃に対して、組織はどのように検知 し、対応すればよいのか。

Vectra AI のような脅威検知とレスポンス 導入する。異常なAPIコール、不正アクセス、異常なデータ流出を監視する。zero trust 原則とMFAを適用する。

アルカナはまだ現役ですか?

現在のところ、彼らのオニオン・サイトは稼動しており、被害者としてWOW!をリストアップしているだけだが、彼らのインフラは継続的な活動と将来の攻撃を示唆している。

アルカナの被害者の法的リスクは?

被害者は、盗まれたデータの性質上、規制上の罰金(HIPAA、GDPRなど)、影響を受けた顧客からの訴訟、集団訴訟責任に直面する可能性がある。

被害を受けた場合、個人は何ができるのか?

WOW!の顧客はそうあるべきだ:

  • クレジット・モニタリングの有効化
  • パスワードとセキュリティ質問を変更する
  • phishing 試行や不正なアカウントアクセスを監視する

あなたの組織はArkanaランサムウェア攻撃から安全ですか?

攻撃の危険性を評価する