サイバー攻撃速報:AWS S3におけるコードフィンガー型ランサムウェアの防御 > コードフィンガー型ランサムウェアの防御

サイバー攻撃速報: AWS S3におけるコードフィンガー型ランサムウェアの防御 > コードフィンガー型ランサムウェアの防御

Vectra AI Japan、ITR発行の最新レポート内「NDR市場」にて国内トップシェアを獲得
詳細を見る
ハンバーガー・アイコン・トップライン
ハンバーガーアイコン中線
ハンバーガーアイコン
cybercriminels
>
ランサムウェア・グループ

INC Ransom

INC Ransom は、2023 年から高度なランサムウェアを使用して重要なインフラストラクチャをターゲットにしています。高度な侵入技術と恐喝戦術を組み合わせており、世界中の組織にとって深刻な脅威となっています。このグループは、医療、製造、政府、テクノロジーなどの分野の組織に重大なリスクをもたらします。

INC RansomのTTPを検知する
貴社はINC Ransom に対して安全ですか?
背景
ターゲット
TTP
検知
よくあるご質問(FAQ)
脅威ブリーフィングを見る

INCランサムの起源

INC Ransom は、2023 年 8 月に出現した高度なランサムウェア グループです。このグループは、スピアフィッシング キャンペーンと既知の脆弱性の悪用を組み合わせて脆弱な組織をターゲットとする、系統的かつ多段階の攻撃戦略を採用しています。特に、このグループは、Citrix NetScaler の重大な欠陥である CVE-2023-3519 を悪用して初期アクセスを獲得したことが知られています。彼らの活動には、被害を最大化し身代金の支払いを強制するための高度に調整された取り組みが含まれており、多くの場合、盗まれたデータを暗号化する前に流出させる「二重の恐喝」戦術を活用しています。INC Ransom は、攻撃中に適応し、トラブルシューティングを行い、技術的な課題を克服する能力が特徴であり、組織化された熟練した活動を示しています。

INC Ransom の背後にいる具体的な個人やグループは公表されていないが、サイバーセキュリティ研究者は、ロシアの犯罪者がこの作戦の背後にいると考えています。

情報源 SOCradar

INCランサムの起源
ターゲット

INC Ransomターゲット

INCランサムの対象国

このグループは世界的に活動しており、北米、ヨーロッパ、アジアの一部で顕著な活動が見られます。米国、英国、ドイツ、オーストラリアなどの国では、INC Ransom に起因する事件が報告されています。彼らの活動には大きな地域的制限はなく、これは彼らの標的が地政学的動機ではなく、機会と潜在的な金銭的利益に影響されていることを示しています。

ソース ランサムウェア.ライブ

INCの身代金要求の対象となった業界

INC Ransom は、重要なインフラストラクチャを持ち、運用中断に対する回復力が低い業界に焦点を当てた、幅広いターゲット戦略で知られています。教育機関、政府機関、メーカー、小売業者、エネルギーおよび公共事業会社、金融機関はすべてターゲットにされています。最も顕著なのは、INC Ransom が医療分野の機密データを狙っており、英国の小児病院とスコットランドの保健委員会に損害を与える攻撃を行ったことです。

情報源 ランサムウェア.ライブ, インフォセキュリティ・マガジン, タイムズ

INCの身代金要求の対象となった業界

INC Ransom は、重要なインフラストラクチャを持ち、運用中断に対する回復力が低い業界に焦点を当てた、幅広いターゲット戦略で知られています。教育機関、政府機関、メーカー、小売業者、エネルギーおよび公共事業会社、金融機関はすべてターゲットにされています。最も顕著なのは、INC Ransom が医療分野の機密データを狙っており、英国の小児病院とスコットランドの保健委員会に損害を与える攻撃を行ったことです。

情報源 ランサムウェア.ライブ, インフォセキュリティ・マガジン, タイムズ

INCの身代金被害者

INC ランサム攻撃の被害に遭った組織は 214 組織と推定されています。INC ランサムは、病院ネットワーク、地方自治体、中規模企業に対する注目度の高い攻撃と関連しています。被害者の具体的な名前は明らかにされないことが多いですが、公開されたレポートから、サイバーセキュリティ防御が弱い組織や、悪用されやすい古いシステムを実行している組織が標的になっていることがわかります。

ソース ランサムウェア.ライブ

攻撃方法

INC Ransom 攻撃方法

初期アクセス
特権エスカレーション
防御回避
クレデンシャル・アクセス
ディスカバリー
横の動き
コレクション
実行
データ流出
インパクト
コンピューター、スマートフォン、タブレット端末など、さまざまなデバイスで埋め尽くされたデジタルの風景に広い網をかける影のような人物。この網は、脆弱性を見つけたり、フィッシングのテクニックを使って不正アクセスを試みる攻撃者を象徴している。

スピア型電子メール(phishing )を使用したり、Citrix NetScaler の CVE-2023-3519 のような公開アプリケーションの脆弱性を悪用する。

基本的なユーザーアイコンから、管理者権限を象徴する王冠に向かって上に伸びるデジタル梯子。これは、攻撃者がシステム内でより高いレベルのアクセス権を得ようとする努力を表している。

RDPのようなツールを活用し、侵害されたシステム内で特権を昇格させる。

デジタルの背景に溶け込むカメレオン、その周囲を流れる0と1。これは、通常のネットワーク・トラフィックに紛れるように戦術を変え、セキュリティ対策による検知を回避する攻撃者の能力を表している。

PSExecを "winupd "に偽装するなど、難読化ファイルを使用して検知を回避する。

ログインフォームのような形をした巨大な鍵穴で作業する鍵開け道具を持った泥棒は、不正アクセスを得るためにユーザー認証情報を盗もうとする攻撃者の努力を表している。

Lsassy.pyのようなツールを利用して、メモリから認証情報をダンプする。

拡大鏡がネットワークのデジタルマップ上を移動し、ファイル、フォルダ、ネットワーク接続をハイライトする。この画像は、攻撃者が環境を探索し、構造や貴重なデータが存在する場所を理解する段階を表しています。

ネットワーク偵察のためにNETSCAN.EXEやAdvanced IP Scannerなどのツールを導入し、価値の高いターゲットを特定する。

一連の相互接続されたノードと、その間をこっそりと移動する影のような人物。これは、ネットワーク内での攻撃者の動きを示しており、追加のシステムの制御を得ようとしたり、malware 。

ネットワーク内の移動には、AnyDesk.exeのようなリモートデスクトップソフトウェアを使用する。

大きなバキュームがファイルやデータアイコン、フォルダを吸い取って、影のような人物の持つ袋に入れる。このイメージは、ターゲット・ネットワークから貴重なデータを収集するプロセスを象徴している。

7-ZipとMEGASyncを使用して、データの流出と暗号化を行います。

デジタル背景の前にコマンドプロンプトウィンドウが開き、悪意のあるコードが入力されている。これは、攻撃者が侵害されたシステム内で悪意のあるペイロードを実行する段階を表しています。

wmic.exeと偽装されたPSExecインスタンスを使用して暗号化スクリプトを実行し、ランサムウェアの展開を開始します。

一連のファイルが秘密のチャネルを通じてコン​​ピューターから頭蓋骨のラベルが付いたクラウドに送信されており、攻撃者が管理する場所へのデータの不正転送を象徴しています。

MEGASyncや他のクラウドベースのプラットフォームを使用して、二重の恐喝戦術のために盗まれたデータを転送する。

ひび割れた画面の背後には混沌としたデジタルの街並みが描かれており、サービスの中断、データの破壊、金銭的損失など、サイバー攻撃の破壊的影響を象徴している。

重要なファイルを暗号化または破壊し、アクセスを回復してデータ漏洩を防ぐために身代金の支払いを要求する。

コンピューター、スマートフォン、タブレット端末など、さまざまなデバイスで埋め尽くされたデジタルの風景に広い網をかける影のような人物。この網は、脆弱性を見つけたり、フィッシングのテクニックを使って不正アクセスを試みる攻撃者を象徴している。
初期アクセス

スピア型電子メール(phishing )を使用したり、Citrix NetScaler の CVE-2023-3519 のような公開アプリケーションの脆弱性を悪用する。

基本的なユーザーアイコンから、管理者権限を象徴する王冠に向かって上に伸びるデジタル梯子。これは、攻撃者がシステム内でより高いレベルのアクセス権を得ようとする努力を表している。
特権エスカレーション

RDPのようなツールを活用し、侵害されたシステム内で特権を昇格させる。

デジタルの背景に溶け込むカメレオン、その周囲を流れる0と1。これは、通常のネットワーク・トラフィックに紛れるように戦術を変え、セキュリティ対策による検知を回避する攻撃者の能力を表している。
防御回避

PSExecを "winupd "に偽装するなど、難読化ファイルを使用して検知を回避する。

ログインフォームのような形をした巨大な鍵穴で作業する鍵開け道具を持った泥棒は、不正アクセスを得るためにユーザー認証情報を盗もうとする攻撃者の努力を表している。
クレデンシャル・アクセス

Lsassy.pyのようなツールを利用して、メモリから認証情報をダンプする。

拡大鏡がネットワークのデジタルマップ上を移動し、ファイル、フォルダ、ネットワーク接続をハイライトする。この画像は、攻撃者が環境を探索し、構造や貴重なデータが存在する場所を理解する段階を表しています。
ディスカバリー

ネットワーク偵察のためにNETSCAN.EXEやAdvanced IP Scannerなどのツールを導入し、価値の高いターゲットを特定する。

一連の相互接続されたノードと、その間をこっそりと移動する影のような人物。これは、ネットワーク内での攻撃者の動きを示しており、追加のシステムの制御を得ようとしたり、malware 。
横の動き

ネットワーク内の移動には、AnyDesk.exeのようなリモートデスクトップソフトウェアを使用する。

大きなバキュームがファイルやデータアイコン、フォルダを吸い取って、影のような人物の持つ袋に入れる。このイメージは、ターゲット・ネットワークから貴重なデータを収集するプロセスを象徴している。
コレクション

7-ZipとMEGASyncを使用して、データの流出と暗号化を行います。

デジタル背景の前にコマンドプロンプトウィンドウが開き、悪意のあるコードが入力されている。これは、攻撃者が侵害されたシステム内で悪意のあるペイロードを実行する段階を表しています。
実行

wmic.exeと偽装されたPSExecインスタンスを使用して暗号化スクリプトを実行し、ランサムウェアの展開を開始します。

一連のファイルが秘密のチャネルを通じてコン​​ピューターから頭蓋骨のラベルが付いたクラウドに送信されており、攻撃者が管理する場所へのデータの不正転送を象徴しています。
データ流出

MEGASyncや他のクラウドベースのプラットフォームを使用して、二重の恐喝戦術のために盗まれたデータを転送する。

ひび割れた画面の背後には混沌としたデジタルの街並みが描かれており、サービスの中断、データの破壊、金銭的損失など、サイバー攻撃の破壊的影響を象徴している。
インパクト

重要なファイルを暗号化または破壊し、アクセスを回復してデータ漏洩を防ぐために身代金の支払いを要求する。

MITRE ATT&CK マッピング

INC Ransomが使用するTTP

TA0001: Initial Access
T1566
Phishing
T1190
Exploit Public-Facing Application
T1078
Valid Accounts
TA0002: Execution
T1059
Command and Scripting Interpreter
TA0003: Persistence
T1078
Valid Accounts
TA0004: Privilege Escalation
T1068
Exploitation for Privilege Escalation
T1078
Valid Accounts
TA0005: Defense Evasion
T1027
Obfuscated Files or Information
T1078
Valid Accounts
TA0006: Credential Access
T1003
OS Credential Dumping
TA0007: Discovery
T1016
System Network Configuration Discovery
TA0008: Lateral Movement
T1021
Remote Services
TA0009: Collection
T1074
Data Staged
TA0011: Command and Control
T1105
Ingress Tool Transfer
TA0010: Exfiltration
No items found.
TA0040: Impact
T1485
Data Destruction
T1486
Data Encrypted for Impact
プラットフォーム検出

Vectra AIを使ったINCの身代金のような脅威検知。

M365 Ransomware

Ransomware File Activity

Suspicious Remote Execution

もっと見る
攻撃の危険性を評価する

よくあるご質問(FAQ)

貴社はINC Ransom に対して安全ですか?

攻撃の危険性を評価する