ハイブリッド攻撃速報: Salt Typhoon - 通信事業者のサイバー攻撃における静かな嵐 > ハイブリッド攻撃速報

Vectra AI Japan、ITR発行の最新レポート内「NDR市場」にて国内トップシェアを獲得
詳細を見る
ハンバーガー・アイコン・トップライン
ハンバーガーアイコン中線
ハンバーガーアイコン
cybercriminels
>
ランサムウェア・グループ

INC Ransom

INC Ransom は、2023年以降、洗練されたランサムウェアで重要インフラを標的にしている。高度な侵入技術と恐喝の手口を組み合わせており、世界中の組織にとって深刻な脅威となっている。このグループは、医療、製造、政府、テクノロジーなどの分野の組織に重大なリスクをもたらしている。

検知 INC RansomTTP
あなたの組織はINC Ransom から安全ですか?
背景
ターゲット
TTP
検知
よくあるご質問(FAQ)
脅威ブリーフィングを見る

その起源INC Ransom

INC Ransom は、2023年8月に出現した高度なランサムウェアグループです。このグループは、スピアphishing キャンペーンと既知の脆弱性の悪用を組み合わせて脆弱な組織を標的にし、体系的かつ多段階の攻撃戦略を採用しています。特に、このグループは、Citrix NetScaler の重大な欠陥である CVE-2023-3519 を悪用して、最初のアクセスを獲得しています。彼らの活動は、被害を最大化し、身代金の支払いを強制するための高度に連携した取り組みを含み、多くの場合、暗号化される前に盗まれたデータが流出する「二重の恐喝」戦術を活用しています。INC Ransom 、攻撃中に適応し、トラブルシューティングし、技術的な課題を克服する能力が特徴的であり、組織化された熟練した活動であることを示しています。

INC Ransom の背後にいる具体的な個人やグループは公表されていないが、サイバーセキュリティ研究者は、ロシアの犯罪者がこの作戦の背後にいると考えている。

情報源 SOCradar

その起源INC Ransom
ターゲット

INC Ransomターゲット

INCの身代金要求対象国

このグループは世界規模で活動しており、北米、ヨーロッパ、アジアの一部で顕著な活動を展開している。米国、英国、ドイツ、オーストラリ アなどの国々で、INC Ransom に起因する事件が報告されている。彼らのキャンペーンには大きな地域制限がないことから、彼らの標的は地政学的な動機というよりも、むしろ機会や潜在的な金銭的利益に影響されていることがわかる。

ソース ランサムウェア.ライブ

INCの身代金要求の対象となった業界

INC Ransom は、重要なインフラを有し、業務の中断に対する回復力が低い業界に焦点を当てた、幅広い標的戦略で知られている。教育機関、政府機関、製造業者、小売業者、エネルギー・公益事業会社、金融機関などが標的になっている。最も目立つところでは、INC Ransom 、ヘルスケア・セクターの機密データを狙っており、英国の小児病院やスコットランドの医療委員会に損害を与える攻撃を行っている。

情報源 ランサムウェア.ライブ, インフォセキュリティ・マガジン, タイムズ

INCの身代金要求の対象となった業界

INC Ransom は、重要なインフラを有し、業務の中断に対する回復力が低い業界に焦点を当てた、幅広い標的戦略で知られている。教育機関、政府機関、製造業者、小売業者、エネルギー・公益事業会社、金融機関などが標的になっている。最も目立つところでは、INC Ransom 、ヘルスケア・セクターの機密データを狙っており、英国の小児病院やスコットランドの医療委員会に損害を与える攻撃を行っている。

情報源 ランサムウェア.ライブ, インフォセキュリティ・マガジン, タイムズ

INCの身代金被害者

INC Ransom INC Ransom は、病院ネットワーク、地方自治体、中堅企業に対する著名な攻撃と関連している。具体的な被害者名は公表されていないことが多いが、サイバーセキュリティの防御が脆弱な組織や、悪用されやすい旧式のシステムを稼働させている組織に焦点が当てられていることが、公的な報告から明らかになっている。

ソース ランサムウェア.ライブ

攻撃方法

INC Ransom 攻撃方法

初期アクセス
特権エスカレーション
防御回避
クレデンシャル・アクセス
ディスカバリー
横の動き
コレクション
実行
データ流出
インパクト
コンピューター、スマートフォン、タブレット端末など、さまざまなデバイスで埋め尽くされたデジタルの風景に広い網をかける影のような人物。この網は、脆弱性を見つけたり、フィッシングのテクニックを使って不正アクセスを試みる攻撃者を象徴している。

スピア型電子メール(phishing )を使用したり、Citrix NetScaler の CVE-2023-3519 のような公開アプリケーションの脆弱性を悪用する。

基本的なユーザーアイコンから、管理者権限を象徴する王冠に向かって上に伸びるデジタル梯子。これは、攻撃者がシステム内でより高いレベルのアクセス権を得ようとする努力を表している。

RDPのようなツールを活用し、侵害されたシステム内で特権を昇格させる。

デジタルの背景に溶け込むカメレオン、その周囲を流れる0と1。これは、通常のネットワーク・トラフィックに紛れるように戦術を変え、セキュリティ対策による検知を回避する攻撃者の能力を表している。

PSExecを "winupd "に偽装するなど、難読化ファイルを使用して検知を回避する。

ログインフォームのような形をした巨大な鍵穴で作業する鍵開け道具を持った泥棒は、不正アクセスを得るためにユーザー認証情報を盗もうとする攻撃者の努力を表している。

Lsassy.pyのようなツールを利用して、メモリから認証情報をダンプする。

拡大鏡がネットワークのデジタルマップ上を移動し、ファイル、フォルダ、ネットワーク接続をハイライトする。この画像は、攻撃者が環境を探索し、構造や貴重なデータが存在する場所を理解する段階を表しています。

ネットワーク偵察のためにNETSCAN.EXEやAdvanced IP Scannerなどのツールを導入し、価値の高いターゲットを特定する。

一連の相互接続されたノードと、その間をこっそりと移動する影のような人物。これは、ネットワーク内での攻撃者の動きを示しており、追加のシステムの制御を得ようとしたり、malware 。

ネットワーク内の移動には、AnyDesk.exeのようなリモートデスクトップソフトウェアを使用する。

大きなバキュームがファイルやデータアイコン、フォルダを吸い取って、影のような人物の持つ袋に入れる。このイメージは、ターゲット・ネットワークから貴重なデータを収集するプロセスを象徴している。

7-ZipとMEGASyncを使用して、データの流出と暗号化を行います。

デジタル背景の前にコマンドプロンプトウィンドウが開き、悪意のあるコードが入力されている。これは、攻撃者が侵害されたシステム内で悪意のあるペイロードを実行する段階を表しています。

wmic.exeと偽装されたPSExecインスタンスを使用して暗号化スクリプトを実行し、ランサムウェアの展開を開始します。

一連のファイルが秘密のチャネルを通じてコン​​ピューターから頭蓋骨のラベルが付いたクラウドに送信されており、攻撃者が管理する場所へのデータの不正転送を象徴しています。

MEGASyncや他のクラウドベースのプラットフォームを使用して、二重の恐喝戦術のために盗まれたデータを転送する。

ひび割れた画面の背後には混沌としたデジタルの街並みが描かれており、サービスの中断、データの破壊、金銭的損失など、サイバー攻撃の破壊的影響を象徴している。

重要なファイルを暗号化または破壊し、アクセスを回復してデータ漏洩を防ぐために身代金の支払いを要求する。

コンピューター、スマートフォン、タブレット端末など、さまざまなデバイスで埋め尽くされたデジタルの風景に広い網をかける影のような人物。この網は、脆弱性を見つけたり、フィッシングのテクニックを使って不正アクセスを試みる攻撃者を象徴している。
初期アクセス

スピア型電子メール(phishing )を使用したり、Citrix NetScaler の CVE-2023-3519 のような公開アプリケーションの脆弱性を悪用する。

基本的なユーザーアイコンから、管理者権限を象徴する王冠に向かって上に伸びるデジタル梯子。これは、攻撃者がシステム内でより高いレベルのアクセス権を得ようとする努力を表している。
特権エスカレーション

RDPのようなツールを活用し、侵害されたシステム内で特権を昇格させる。

デジタルの背景に溶け込むカメレオン、その周囲を流れる0と1。これは、通常のネットワーク・トラフィックに紛れるように戦術を変え、セキュリティ対策による検知を回避する攻撃者の能力を表している。
防御回避

PSExecを "winupd "に偽装するなど、難読化ファイルを使用して検知を回避する。

ログインフォームのような形をした巨大な鍵穴で作業する鍵開け道具を持った泥棒は、不正アクセスを得るためにユーザー認証情報を盗もうとする攻撃者の努力を表している。
クレデンシャル・アクセス

Lsassy.pyのようなツールを利用して、メモリから認証情報をダンプする。

拡大鏡がネットワークのデジタルマップ上を移動し、ファイル、フォルダ、ネットワーク接続をハイライトする。この画像は、攻撃者が環境を探索し、構造や貴重なデータが存在する場所を理解する段階を表しています。
ディスカバリー

ネットワーク偵察のためにNETSCAN.EXEやAdvanced IP Scannerなどのツールを導入し、価値の高いターゲットを特定する。

一連の相互接続されたノードと、その間をこっそりと移動する影のような人物。これは、ネットワーク内での攻撃者の動きを示しており、追加のシステムの制御を得ようとしたり、malware 。
横の動き

ネットワーク内の移動には、AnyDesk.exeのようなリモートデスクトップソフトウェアを使用する。

大きなバキュームがファイルやデータアイコン、フォルダを吸い取って、影のような人物の持つ袋に入れる。このイメージは、ターゲット・ネットワークから貴重なデータを収集するプロセスを象徴している。
コレクション

7-ZipとMEGASyncを使用して、データの流出と暗号化を行います。

デジタル背景の前にコマンドプロンプトウィンドウが開き、悪意のあるコードが入力されている。これは、攻撃者が侵害されたシステム内で悪意のあるペイロードを実行する段階を表しています。
実行

wmic.exeと偽装されたPSExecインスタンスを使用して暗号化スクリプトを実行し、ランサムウェアの展開を開始します。

一連のファイルが秘密のチャネルを通じてコン​​ピューターから頭蓋骨のラベルが付いたクラウドに送信されており、攻撃者が管理する場所へのデータの不正転送を象徴しています。
データ流出

MEGASyncや他のクラウドベースのプラットフォームを使用して、二重の恐喝戦術のために盗まれたデータを転送する。

ひび割れた画面の背後には混沌としたデジタルの街並みが描かれており、サービスの中断、データの破壊、金銭的損失など、サイバー攻撃の破壊的影響を象徴している。
インパクト

重要なファイルを暗号化または破壊し、アクセスを回復してデータ漏洩を防ぐために身代金の支払いを要求する。

MITRE ATT&CK マッピング

INC Ransomが使用するTTP

TA0001: Initial Access
T1566
Phishing
T1190
Exploit Public-Facing Application
T1078
Valid Accounts
TA0002: Execution
T1059
Command and Scripting Interpreter
TA0003: Persistence
T1078
Valid Accounts
TA0004: Privilege Escalation
T1068
Exploitation for Privilege Escalation
T1078
Valid Accounts
TA0005: Defense Evasion
T1027
Obfuscated Files or Information
T1078
Valid Accounts
TA0006: Credential Access
T1003
OS Credential Dumping
TA0007: Discovery
T1016
System Network Configuration Discovery
TA0008: Lateral Movement
T1021
Remote Services
TA0009: Collection
T1074
Data Staged
TA0011: Command and Control
T1105
Ingress Tool Transfer
TA0010: Exfiltration
No items found.
TA0040: Impact
T1485
Data Destruction
T1486
Data Encrypted for Impact
プラットフォーム検出

Vectra AIを使ったINCの身代金のような脅威検知。

M365 Ransomware

Ransomware File Activity

Suspicious Remote Execution

もっと見る
攻撃の危険性を評価する

よくあるご質問(FAQ)

あなたの組織はINC Ransom から安全ですか?

攻撃の危険性を評価する