サイバー攻撃速報:AWS S3におけるコードフィンガー型ランサムウェアの防御 > コードフィンガー型ランサムウェアの防御

サイバー攻撃速報: AWS S3におけるコードフィンガー型ランサムウェアの防御 > コードフィンガー型ランサムウェアの防御

Vectra AI Japan、ITR発行の最新レポート内「NDR市場」にて国内トップシェアを獲得
詳細を見る
ハンバーガー・アイコン・トップライン
ハンバーガーアイコン中線
ハンバーガーアイコン
cybercriminels
>
ランサムウェア・グループ

ハンター

Hunters Internationalは、2023年に初めてサイバー攻撃シーンに登場したランサムウェア・アズ・ア・サービスです。業種や事業規模を問わず、組織に重大なリスクをもたらします。

ハンターのTTPを発見する
貴社はHunters International ランサムウェアに対して安全ですか?
背景
ターゲット
TTP
検知
よくあるご質問(FAQ)
脅威ブリーフィングを見る

Hunters International ランサムウェアの起源

Hunters Internationalは2023年後半、業界の専門家が以前閉鎖されたサイバー犯罪組織のランサムウェアコードを再燃させる試みとして出現した。このコードはもともと、約1500人の被害者から1億ドル以上を恐喝した破壊的な作戦、Hiveによって使用されていた。 

FBIがHiveを停止させた直後、Hiveの運営者はHunters Internationalという新しいグループにコードを渡した。この引き渡しは、非常によく似たソースコードを使用した新しいランサムウェアのサンプルが相次いだことから、セキュリティ研究者によって発見された。 

それ以来、このグループは少なくとも20数カ国の被害者を危険にさらすことに成功している。

情報源 テッククランチ, 米司法省, ビットディフェンダー  

Hunters International ランサムウェアの起源
ターゲット

Hunters ランサムウェアの標的

Hunters ランサムウェア・グループが標的とする国々

その名が示すように、Hunters Internationalは世界中の組織を標的としている。最後に数えたところでは、このグループはおよそ30カ国の被害者を危険にさらしています。カナダからニュージーランドに至るまで、組織はその地域性よりも、その脆弱性や身代金を支払う可能性から狙われています。現在までのところ、Hunters Internationalの被害者が最も多いのは米国である。

情報源 HIPAAジャーナル, ランサムウェア.ライブ

Hunters ランサムウェア・グループが標的とする業界

Hunters 国際的な被害者には、医療、製造、金融、教育、自動車部門など、幅広い業種の組織が含まれる。このような無差別的なスタイルは、同グループがあらゆる規模や業種の組織に重大なリスクをもたらすことを意味する。

Hunters ランサムウェア・グループが標的とする業界

Hunters 国際的な被害者には、医療、製造、金融、教育、自動車部門など、幅広い業種の組織が含まれる。このような無差別的なスタイルは、同グループがあらゆる規模や業種の組織に重大なリスクをもたらすことを意味する。

Hunters ランサムウェアの被害者

現在までに、231人の被害者がHunters International ランサムウェアの餌食となっている。

ソース ランサムウェア.ライブ

攻撃方法

Hunters ランサムウェアの攻撃方法

初期アクセス
特権エスカレーション
防御回避
クレデンシャル・アクセス
ディスカバリー
横の動き
コレクション
実行
データ流出
インパクト
コンピューター、スマートフォン、タブレット端末など、さまざまなデバイスで埋め尽くされたデジタルの風景に広い網をかける影のような人物。この網は、脆弱性を見つけたり、フィッシングのテクニックを使って不正アクセスを試みる攻撃者を象徴している。

Hunters Internationalは通常、ソーシャルエンジニアリングとphishing 、従業員を騙して悪意のあるファイルをダウンロードさせ、実行させるように設計されたキャンペーンでアクセスを獲得します。このグループは、リモート・デスクトップ・プロトコル(RDP)を活用することでも知られています。

基本的なユーザーアイコンから、管理者権限を象徴する王冠に向かって上に伸びるデジタル梯子。これは、攻撃者がシステム内でより高いレベルのアクセス権を得ようとする努力を表している。

場合によっては、Hunters Internationalは、正規のポートスキャンプログラムになりすまして、malware をインストールし、IT従業員のアクセス権を取得する。ネットワーク内に入ると、このグループはより高いレベルの管理者アクセス権を自らに付与します。 

デジタルの背景に溶け込むカメレオン、その周囲を流れる0と1。これは、通常のネットワーク・トラフィックに紛れるように戦術を変え、セキュリティ対策による検知を回避する攻撃者の能力を表している。

Hunters インターナショナルは、一見合法的に見える方法でアクセスし、横方向に移動することで検知を逃れる。

ログインフォームのような形をした巨大な鍵穴で作業する鍵開け道具を持った泥棒は、不正アクセスを得るためにユーザー認証情報を盗もうとする攻撃者の努力を表している。
拡大鏡がネットワークのデジタルマップ上を移動し、ファイル、フォルダ、ネットワーク接続をハイライトする。この画像は、攻撃者が環境を探索し、構造や貴重なデータが存在する場所を理解する段階を表しています。
一連の相互接続されたノードと、その間をこっそりと移動する影のような人物。これは、ネットワーク内での攻撃者の動きを示しており、追加のシステムの制御を得ようとしたり、malware 。
大きなバキュームがファイルやデータアイコン、フォルダを吸い取って、影のような人物の持つ袋に入れる。このイメージは、ターゲット・ネットワークから貴重なデータを収集するプロセスを象徴している。
デジタル背景の前にコマンドプロンプトウィンドウが開き、悪意のあるコードが入力されている。これは、攻撃者が侵害されたシステム内で悪意のあるペイロードを実行する段階を表しています。

Hunters 国際的なランサムウェアは、リバース・エンジニアリングに強く、低レベルのリソースを強固に制御する言語として好まれているRustで書かれている。

一連のファイルが秘密のチャネルを通じてコン​​ピューターから頭蓋骨のラベルが付いたクラウドに送信されており、攻撃者が管理する場所へのデータの不正転送を象徴しています。

malware は、さまざまな暗号を組み合わせてファイルを暗号化し、暗号化された鍵を各ファイルに埋め込みます。このアプローチは、身代金を支払う被害者にとっては復号化プロセスを簡略化する一方で、malware に対抗する取り組みを複雑にしている。

ひび割れた画面の背後には混沌としたデジタルの街並みが描かれており、サービスの中断、データの破壊、金銭的損失など、サイバー攻撃の破壊的影響を象徴している。

Hunters Internationalは、重大なデータ漏洩、金銭的損失、永続的なブランドの評判の低下を引き起こしてきた。

コンピューター、スマートフォン、タブレット端末など、さまざまなデバイスで埋め尽くされたデジタルの風景に広い網をかける影のような人物。この網は、脆弱性を見つけたり、フィッシングのテクニックを使って不正アクセスを試みる攻撃者を象徴している。
初期アクセス

Hunters Internationalは通常、ソーシャルエンジニアリングとphishing 、従業員を騙して悪意のあるファイルをダウンロードさせ、実行させるように設計されたキャンペーンでアクセスを獲得します。このグループは、リモート・デスクトップ・プロトコル(RDP)を活用することでも知られています。

基本的なユーザーアイコンから、管理者権限を象徴する王冠に向かって上に伸びるデジタル梯子。これは、攻撃者がシステム内でより高いレベルのアクセス権を得ようとする努力を表している。
特権エスカレーション

場合によっては、Hunters Internationalは、正規のポートスキャンプログラムになりすまして、malware をインストールし、IT従業員のアクセス権を取得する。ネットワーク内に入ると、このグループはより高いレベルの管理者アクセス権を自らに付与します。 

デジタルの背景に溶け込むカメレオン、その周囲を流れる0と1。これは、通常のネットワーク・トラフィックに紛れるように戦術を変え、セキュリティ対策による検知を回避する攻撃者の能力を表している。
防御回避

Hunters インターナショナルは、一見合法的に見える方法でアクセスし、横方向に移動することで検知を逃れる。

ログインフォームのような形をした巨大な鍵穴で作業する鍵開け道具を持った泥棒は、不正アクセスを得るためにユーザー認証情報を盗もうとする攻撃者の努力を表している。
クレデンシャル・アクセス
拡大鏡がネットワークのデジタルマップ上を移動し、ファイル、フォルダ、ネットワーク接続をハイライトする。この画像は、攻撃者が環境を探索し、構造や貴重なデータが存在する場所を理解する段階を表しています。
ディスカバリー
一連の相互接続されたノードと、その間をこっそりと移動する影のような人物。これは、ネットワーク内での攻撃者の動きを示しており、追加のシステムの制御を得ようとしたり、malware 。
横の動き
大きなバキュームがファイルやデータアイコン、フォルダを吸い取って、影のような人物の持つ袋に入れる。このイメージは、ターゲット・ネットワークから貴重なデータを収集するプロセスを象徴している。
コレクション
デジタル背景の前にコマンドプロンプトウィンドウが開き、悪意のあるコードが入力されている。これは、攻撃者が侵害されたシステム内で悪意のあるペイロードを実行する段階を表しています。
実行

Hunters 国際的なランサムウェアは、リバース・エンジニアリングに強く、低レベルのリソースを強固に制御する言語として好まれているRustで書かれている。

一連のファイルが秘密のチャネルを通じてコン​​ピューターから頭蓋骨のラベルが付いたクラウドに送信されており、攻撃者が管理する場所へのデータの不正転送を象徴しています。
データ流出

malware は、さまざまな暗号を組み合わせてファイルを暗号化し、暗号化された鍵を各ファイルに埋め込みます。このアプローチは、身代金を支払う被害者にとっては復号化プロセスを簡略化する一方で、malware に対抗する取り組みを複雑にしている。

ひび割れた画面の背後には混沌としたデジタルの街並みが描かれており、サービスの中断、データの破壊、金銭的損失など、サイバー攻撃の破壊的影響を象徴している。
インパクト

Hunters Internationalは、重大なデータ漏洩、金銭的損失、永続的なブランドの評判の低下を引き起こしてきた。

MITRE ATT&CK マッピング

Hunters ランサムウェアが使用する手口

TA0001: Initial Access
No items found.
TA0002: Execution
T1106
Native API
T1129
Shared Modules
TA0003: Persistence
T1547
Boot or Logon Autostart Execution
TA0004: Privilege Escalation
T1547
Boot or Logon Autostart Execution
TA0005: Defense Evasion
T1027
Obfuscated Files or Information
T1562
Impair Defenses
TA0006: Credential Access
No items found.
TA0007: Discovery
T1083
File and Directory Discovery
T1082
System Information Discovery
T1057
Process Discovery
TA0008: Lateral Movement
No items found.
TA0009: Collection
No items found.
TA0011: Command and Control
T1071
Application Layer Protocol
TA0010: Exfiltration
No items found.
TA0040: Impact
T1486
Data Encrypted for Impact
プラットフォーム検出

検知 Hunters ランサムウェアをVectra AIで駆除する方法

何千もの企業組織が、ランサムノートに襲われる前に攻撃を発見し、阻止するために、強力なAI主導 。

AWS Ransomware S3 Activity

M365 Ransomware

Ransomware File Activity

もっと見る
攻撃の危険性を評価する

よくあるご質問(FAQ)

Hunters ランサムウェアとは?

Hunters Internationalは、2023年後半に出現したランサムウェア・アズ・ア・サービス(RaaS)です。世界中の幅広い業界をターゲットにしていることで知られている。

Hunters インターナショナルとハイブ・ランサムウェアとの関係は?

Hiveは、2023年後半にFBIによって破壊されたランサムウェアグループである。その活動が妨害された直後、セキュリティ研究者はHiveのコードとHunters Internationalという新しいランサムウェア・グループが使用するコードの一致を確認した。このことから、Hiveはその資産をHunters Internationalに売却したという説が浮上した。

Hunters インターナショナルは、組織を侵害するためにどのようなテクニックを使っているのか?

Hunters Internationalは、データの暗号化とデータ流出を組み合わせた二重の恐喝戦略を採用している。身代金の要求に応じなければ、盗んだデータをデータ流出サイトに流出させると脅している。

Hunters インターナショナルはどのコードを使用していますか?

Hunters インターナショナル・ランサムウェアは、効率性とセキュリティ機能で知られるRustプログラミング言語で書かれている。特筆すべきは、暗号化されたファイル内に暗号化キーを埋め込むことで、暗号化プロセスを合理化し、複数の暗号化方式を組み合わせて使用している点です。

Hunters インターナショナルがターゲットとしている業界は?

無差別的なアプローチを示すHunters インターナショナルは、ヘルスケア、自動車、製造、物流、金融、教育、食品業界など、さまざまな分野の組織を対象としている。

Hunters インターナショナルがターゲットにしている国は?

Hunters インターナショナルはその名の通り、世界的な活動である。フランス、ドイツ、オーストラリア、ブラジル、カナダ、日本、ナミビア、ニュージーランド、スペイン、英国、米国、さらに多くの国々で被害者が確認されている。このような日和見的な標的戦略は、幅広い業界や地域の脆弱性を悪用することに重点を置いていることを裏付けている。

Hunters インターナショナルの攻撃にはどのような意味があるのか?

Hunters 国際的な被害者は、金銭的にも評判の面でも大きな損失を被る。例えば2024年9月、Hunters インターナショナルは、中国工商銀行(ICBC)ロンドン支店への侵入を主張した。このグループは520万以上のファイルを盗み、6.6TBのデータを盗み出しました。

Hunters インターナショナルの攻撃に対し、組織はどのように検知 、対応できるのか?

組織は、強力なAI主導の脅威検検知プラットフォームを導入することで、検出とレスポンス 機能を強化することができます。これにより、SOCチームはランサムウェアの活動をリアルタイムで発見し、阻止するために必要な情報を得ることができます。

Hunters インターナショナルの攻撃を防ぐ最善の方法とは?

Hunters International や同様のランサムウェアグループがもたらす脅威を軽減するために、サイバーセキュリティの専門家は、定期的なバックアップを実施し、phishing 攻撃を認識できるように従業員を訓練し、すべてのシステムとソフトウェアが最新のパッチでアップデートされていることを確認する必要があります。さらに、AI主導の検出は、攻撃者がランサムウェアを起動する前に、侵害後に攻撃者を特定するのに役立ちます。

Hunters インターナショナルによって、すでにどれだけの組織が影響を受けているのだろうか?

直近の集計では、231の組織がHunters ランサムウェアの被害を受けている。これには米国内だけでも123件の攻撃が含まれている。

貴社はHunters International ランサムウェアに対して安全ですか?

攻撃の危険性を評価する