Arkanaの生い立ち
Arkanaは、米国の大手ケーブル・ブロードバンド・プロバイダーであるWideOpenWest(WOW!)最近出現したにもかかわらず、このグループの運用が洗練されていることから、経験豊富な脅威アクターによって運営されている可能性があります。Arkanaは、3段階のランサムウェア・モデル(身代金、販売、リーク)を使用しており、恐喝と強制的な戦術に重点を置いています。オニオン・サイトや通信で使用されている言語は、ロシアが起源または関連会社である可能性を示唆しているが、これはまだ決定的に検証されていない。
彼らの戦略は技術的なものだけでなく心理的なものでもあり、被害者への圧力を強めるために辱め戦術や企業のDoxingに頼っている。同グループが「恥の壁」を公開し、Doxingされた経営陣の情報を拡散することは、恐喝計画の一環として風評攻撃へのシフトを示すものである。
Arkanaの対象国
他の攻撃は公表されていないが、米国を拠点とする企業であるWOW!に対するArkanaの攻撃は、欧米、特に北米の企業を標的とする彼らの関心を示している。彼らのアプローチは、高度に規制された環境で確立された組織に挑戦する意思を示唆している。
Arkanaの対象産業
Arkanaは、WideOpenWestに対する最初の攻撃で知られるように、主に通信およびインターネットサービス業界を標的としてきました。しかし、彼らの恐喝を中心としたモデルとインフラ悪用のテクニックは、大量の個人情報、財務データを保存し、重要なバックエンドシステムを運用するあらゆる業界を攻撃するのに有利な立場にあることを示唆しています。
Arkanaの犠牲者
現時点で確認されている唯一の被害者は、WideOpenWest(WOW!)へのアクセスを主張している:
- 403,000以上の顧客口座
- AppianCloudや Symphonicaのようなバックエンドプラットフォーム
- 機密性の高い財務データおよび個人情報データ
- SSN、住所、連絡先などの役員の個人情報
これは、横方向への深い動きと、特権を持つバックエンドシステムに重点が置かれていることを示しており、顧客のエンドポイント全体でランサムウェアを大規模に展開できる可能性があります。
Arkanaの攻撃テクニック
おそらく、インターネットに接続されたシステムや漏洩した認証情報を悪用し、パッチが適用されていない脆弱性やphishing達成される。
AppianCloud のようなバックエンドプラットフォームで昇格した権限を獲得。プラットフォーム固有の設定ミスや認証バイパスを悪用した可能性が高い。
WOW!の内部システムへの長時間のアクセスを維持しながら、検知を回避。おそらくロギングを無効にするか、アクセスパターンを難読化した。
ユーザー名、パスワード、セキュリティー質問の回答を含む幅広い認証情報にアクセス。
社内サービスとAPI(課金、顧客データなど)をマッピングし、SymphonicaやAppianのような価値の高いターゲットを特定。
課金API、CRMシステム、場合によってはSymphonicaを介して制御されるデバイスを含む、内部システム全体に伝播。
顧客向けシステムから個人情報、認証データ、バックエンドコードを含む大量のデータを流出させた。
Symphonica経由で顧客のデバイスに malwareプッシュする能力があると主張。おそらく、バックエンドアクセス経由でカスタムスクリプトやペイロードが関与している。
データは時間をかけて抽出され、サニタイズされたサンプルやスクリーンショットの公開など、恐喝のプロセスに使用された可能性が高い。
盗まれたデータの公開、経営幹部へのDoxing、風評被害、エンドユーザーへのmalware 配布の可能性。
おそらく、インターネットに接続されたシステムや漏洩した認証情報を悪用し、パッチが適用されていない脆弱性やphishing達成される。
AppianCloud のようなバックエンドプラットフォームで昇格した権限を獲得。プラットフォーム固有の設定ミスや認証バイパスを悪用した可能性が高い。
WOW!の内部システムへの長時間のアクセスを維持しながら、検知を回避。おそらくロギングを無効にするか、アクセスパターンを難読化した。
ユーザー名、パスワード、セキュリティー質問の回答を含む幅広い認証情報にアクセス。
社内サービスとAPI(課金、顧客データなど)をマッピングし、SymphonicaやAppianのような価値の高いターゲットを特定。
課金API、CRMシステム、場合によってはSymphonicaを介して制御されるデバイスを含む、内部システム全体に伝播。
顧客向けシステムから個人情報、認証データ、バックエンドコードを含む大量のデータを流出させた。
Symphonica経由で顧客のデバイスに malwareプッシュする能力があると主張。おそらく、バックエンドアクセス経由でカスタムスクリプトやペイロードが関与している。
データは時間をかけて抽出され、サニタイズされたサンプルやスクリーンショットの公開など、恐喝のプロセスに使用された可能性が高い。
盗まれたデータの公開、経営幹部へのDoxing、風評被害、エンドユーザーへのmalware 配布の可能性。
Arkanaが使用したTTP
Vectra AIでArkanaを検知する方法
よくあるご質問(FAQ)
Arkanaとは何か、他のランサムウェアグループとどう違うのか?
Arkanaは新たに確認されたランサムウェアグループで、3段階の恐喝モデルを備えています:身代金、販売、リーク。従来のランサムウェアに攻撃的なDoxingや風評攻撃を組み合わせています。
Arkanaは既知のサイバー犯罪グループと関係がありますか?
関連性は確認されていないが、言葉遣いや手口から、ロシアが起源であるか、東欧のサイバー犯罪エコシステムと連携している可能性が示唆されている。
WOW!に対する攻撃の範囲はどのようなものだったのか?
Arkanaは、バックエンドのインフラに侵入し、40万3,000以上の顧客アカウントを流出させ、シンフォニカや アピアンクラウドのようなプラットフォームをコントロールしたと主張している。
Arkanaはどのようにして最初のアクセスを得たのですか?
未確認ではあるが、以下のような手口が考えられる。 phishingやクレデンシャル・スタッフィング、あるいはパッチが適用されていない一般向けシステムを悪用したものなどが考えられる。
盗まれたデータの種類は?
データには、ユーザー名、パスワード、SSN、クレジットカード情報、サービスパッケージの詳細、Firebase ID、電子メール通信の設定が含まれます。
Arkanaは実際のランサムウェアを配備したのか?
彼らはデータ強奪グループとして活動しているが、顧客のデバイスにmalware プッシュすることもできると主張しており、ランサムウェアの展開が可能であることを示唆している。
このような攻撃に対して、組織はどのように検知 し、対応すればよいのか。
Vectra AI のような脅威検知とレスポンス 導入する。異常なAPIコール、不正アクセス、異常なデータ流出を監視する。zero trust 原則とMFAを適用する。
Arkanaはまだ現役ですか?
現在のところ、彼らのオニオン・サイトは稼動しており、被害者としてWOW!をリストアップしているだけだが、彼らのインフラは継続的な活動と将来の攻撃を示唆している。
Arkanaの被害者の法的リスクは?
被害者は、盗まれたデータの性質上、規制上の罰金(HIPAA、GDPRなど)、影響を受けた顧客からの訴訟、集団訴訟責任に直面する可能性がある。
被害を受けた場合、個人は何ができるのか?
WOW!の顧客はそうあるべきだ:
- クレジット・モニタリングの有効化
- パスワードとセキュリティ質問を変更する
- phishing 試行や不正なアカウントアクセスを監視する