Copilotと Microsoft Azureの新しいVectra AI Platformの適用範囲を紹介する。

Vectra AI Japan、ITR発行の最新レポート内「NDR市場」にて国内トップシェアを獲得
詳細を見る
ハンバーガー・アイコン・トップライン
ハンバーガーアイコン中線
ハンバーガーアイコン
cybercriminels
>
ランサムウェア・グループ

ランサムハブ

RansomHubはランサムウェア・アズ・ア・サービス(RaaS)の亜種で、以前はCyclopsやKnightとして知られていた。

検知 ランサムハブのTTP
あなたの組織はランサムハブ攻撃から安全ですか?
背景
ターゲット
TTP
検知
よくあるご質問(FAQ)
脅威ブリーフィングを見る

ランサムハブの由来

2024年2月に出現したこのグループは、LockBitや ALPHVといった他のランサムウェアグループの有名なアフィリエイトを活用し、210人以上の被害者からデータを暗号化し、流出しているRansomHubの活動は二重の恐喝モデルに焦点を当てており、アフィリエイトはシステムを暗号化し、データを流出させ、身代金が支払われなければ盗まれたデータを公開すると脅迫する。同グループは、そのプロフェッショナリズムと洗練された技術で知られている。

ランサムハブの由来
ターゲット

ランサムハブの標的

RansomHubがターゲットにしている国

RansomHubは、主に米国とヨーロッパに被害者を抱え、重要なインフラや主要産業に焦点を当て、世界的な活動を行っている。

同グループは、独立国家共同体(CIS)、キューバ、北朝鮮、中国を標的にすることは避けると主張しているが、これは作戦上の安全な隠れ家や法的保護のためと思われる。

図の出典 サイバリント

RansomHubが標的とする業界

RansomHubは幅広い業種をターゲットにしており、中でもビジネスサービス小売業製造業が上位を占めている。その他にも、教育サービス政府金融建設ヘルスケアテクノロジー重要インフラなど、頻繁に影響を受けている。このグループが重要なセクターに焦点を当てていることは、その幅広い活動範囲を浮き彫りにしており、公共団体と民間団体の両方に重大な脅威をもたらしている。

このグループは効率的であるにもかかわらず、非営利団体をターゲットにしていないと主張している。

RansomHubが標的とする業界

RansomHubは幅広い業種をターゲットにしており、中でもビジネスサービス小売業製造業が上位を占めている。その他にも、教育サービス政府金融建設ヘルスケアテクノロジー重要インフラなど、頻繁に影響を受けている。このグループが重要なセクターに焦点を当てていることは、その幅広い活動範囲を浮き彫りにしており、公共団体と民間団体の両方に重大な脅威をもたらしている。

このグループは効率的であるにもかかわらず、非営利団体をターゲットにしていないと主張している。

ランサムハブの被害者

RansomHubの出現以来、324を超える組織が被害に遭っており、特に医療システムや政府施設などの公共インフラに重点が置かれている。これらの攻撃は重要なサービスを妨害し、大幅な業務停止と多額の身代金要求につながっている。

攻撃方法

ランサムハブの攻撃手法

初期アクセス
特権エスカレーション
防御回避
クレデンシャル・アクセス
ディスカバリー
横の動き
コレクション
実行
データ流出
インパクト
コンピューター、スマートフォン、タブレット端末など、さまざまなデバイスで埋め尽くされたデジタルの風景に広い網をかける影のような人物。この網は、脆弱性を見つけたり、フィッシングのテクニックを使って不正アクセスを試みる攻撃者を象徴している。

RansomHub のアフィリエイトは、フィッシングの電子メール、脆弱性の悪用、パスワードの散布によってアクセス権を獲得します。悪用される一般的な脆弱性には、CVE-2023-3519(Citrix ADC)、CVE-2023-27997(Fortinet)、CVE-2020-1472(Netlogonの権限昇格)などがあります。

基本的なユーザーアイコンから、管理者権限を象徴する王冠に向かって上に伸びるデジタル梯子。これは、攻撃者がシステム内でより高いレベルのアクセス権を得ようとする努力を表している。

いったん内部に侵入すると、アフィリエイトはMimikatzのようなツールを使って特権をエスカレートさせ、侵害されたシステムを完全にコントロールできるようにする。

デジタルの背景に溶け込むカメレオン、その周囲を流れる0と1。これは、通常のネットワーク・トラフィックに紛れるように戦術を変え、セキュリティ対策による検知を回避する攻撃者の能力を表している。

セキュリティ・ツールを無効にし、ログを消去し、ランサムウェアの実行ファイルの名前を変更してシステム・ファイルに紛れ込ませ、検出を回避する。

ログインフォームのような形をした巨大な鍵穴で作業する鍵開け道具を持った泥棒は、不正アクセスを得るためにユーザー認証情報を盗もうとする攻撃者の努力を表している。

アフィリエイトは、クレデンシャルダンプツールとパスワードスプレーを使用して、価値の高いシステムにアクセスするための管理者クレデンシャルを収集する。

拡大鏡がネットワークのデジタルマップ上を移動し、ファイル、フォルダ、ネットワーク接続をハイライトする。この画像は、攻撃者が環境を探索し、構造や貴重なデータが存在する場所を理解する段階を表しています。

ネットワーク偵察は、NmapやPowerShellのようなツールを使って行われ、貴重なターゲットを特定し、さらなる悪用を計画する。

一連の相互接続されたノードと、その間をこっそりと移動する影のような人物。これは、ネットワーク内での攻撃者の動きを示しており、追加のシステムの制御を得ようとしたり、malware 。

アフィリエイトは、リモート・デスクトップ・プロトコル(RDP)、PsExec、AnyDeskなどのツールを使用して横方向に移動し、ネットワーク内の追加システムにアクセスできるようになります。

大きなバキュームがファイルやデータアイコン、フォルダを吸い取って、影のような人物の持つ袋に入れる。このイメージは、ターゲット・ネットワークから貴重なデータを収集するプロセスを象徴している。

機密データはRcloneやWinSCPのようなツールを使って流出し、多くの場合、二重の恐喝目的で、盗まれたデータは身代金交渉のテコとして使われる。

デジタル背景の前にコマンドプロンプトウィンドウが開き、悪意のあるコードが入力されている。これは、攻撃者が侵害されたシステム内で悪意のあるペイロードを実行する段階を表しています。

このランサムウェアは被害者のネットワーク上で実行され、Curve 25519楕円曲線暗号を使ってファイルを暗号化する。

一連のファイルが秘密のチャネルを通じてコン​​ピューターから頭蓋骨のラベルが付いたクラウドに送信されており、攻撃者が管理する場所へのデータの不正転送を象徴しています。

データは暗号化されたプロトコル、クラウドアカウント、または攻撃者が管理するサーバーへの直接転送によって流出する。

ひび割れた画面の背後には混沌としたデジタルの街並みが描かれており、サービスの中断、データの破壊、金銭的損失など、サイバー攻撃の破壊的影響を象徴している。

RansomHub の暗号化によって被害者のシステムは操作不能となり、多くの場合、大規模なオペレーションのダウンタイムが発生します。アフィリエイトはバックアップやボリュームシャドウコピーを削除して復旧作業を阻止し、被害者に身代金を支払うよう最大限の圧力をかけます。

コンピューター、スマートフォン、タブレット端末など、さまざまなデバイスで埋め尽くされたデジタルの風景に広い網をかける影のような人物。この網は、脆弱性を見つけたり、フィッシングのテクニックを使って不正アクセスを試みる攻撃者を象徴している。
初期アクセス

RansomHub のアフィリエイトは、フィッシングの電子メール、脆弱性の悪用、パスワードの散布によってアクセス権を獲得します。悪用される一般的な脆弱性には、CVE-2023-3519(Citrix ADC)、CVE-2023-27997(Fortinet)、CVE-2020-1472(Netlogonの権限昇格)などがあります。

基本的なユーザーアイコンから、管理者権限を象徴する王冠に向かって上に伸びるデジタル梯子。これは、攻撃者がシステム内でより高いレベルのアクセス権を得ようとする努力を表している。
特権エスカレーション

いったん内部に侵入すると、アフィリエイトはMimikatzのようなツールを使って特権をエスカレートさせ、侵害されたシステムを完全にコントロールできるようにする。

デジタルの背景に溶け込むカメレオン、その周囲を流れる0と1。これは、通常のネットワーク・トラフィックに紛れるように戦術を変え、セキュリティ対策による検知を回避する攻撃者の能力を表している。
防御回避

セキュリティ・ツールを無効にし、ログを消去し、ランサムウェアの実行ファイルの名前を変更してシステム・ファイルに紛れ込ませ、検出を回避する。

ログインフォームのような形をした巨大な鍵穴で作業する鍵開け道具を持った泥棒は、不正アクセスを得るためにユーザー認証情報を盗もうとする攻撃者の努力を表している。
クレデンシャル・アクセス

アフィリエイトは、クレデンシャルダンプツールとパスワードスプレーを使用して、価値の高いシステムにアクセスするための管理者クレデンシャルを収集する。

拡大鏡がネットワークのデジタルマップ上を移動し、ファイル、フォルダ、ネットワーク接続をハイライトする。この画像は、攻撃者が環境を探索し、構造や貴重なデータが存在する場所を理解する段階を表しています。
ディスカバリー

ネットワーク偵察は、NmapやPowerShellのようなツールを使って行われ、貴重なターゲットを特定し、さらなる悪用を計画する。

一連の相互接続されたノードと、その間をこっそりと移動する影のような人物。これは、ネットワーク内での攻撃者の動きを示しており、追加のシステムの制御を得ようとしたり、malware 。
横の動き

アフィリエイトは、リモート・デスクトップ・プロトコル(RDP)、PsExec、AnyDeskなどのツールを使用して横方向に移動し、ネットワーク内の追加システムにアクセスできるようになります。

大きなバキュームがファイルやデータアイコン、フォルダを吸い取って、影のような人物の持つ袋に入れる。このイメージは、ターゲット・ネットワークから貴重なデータを収集するプロセスを象徴している。
コレクション

機密データはRcloneやWinSCPのようなツールを使って流出し、多くの場合、二重の恐喝目的で、盗まれたデータは身代金交渉のテコとして使われる。

デジタル背景の前にコマンドプロンプトウィンドウが開き、悪意のあるコードが入力されている。これは、攻撃者が侵害されたシステム内で悪意のあるペイロードを実行する段階を表しています。
実行

このランサムウェアは被害者のネットワーク上で実行され、Curve 25519楕円曲線暗号を使ってファイルを暗号化する。

一連のファイルが秘密のチャネルを通じてコン​​ピューターから頭蓋骨のラベルが付いたクラウドに送信されており、攻撃者が管理する場所へのデータの不正転送を象徴しています。
データ流出

データは暗号化されたプロトコル、クラウドアカウント、または攻撃者が管理するサーバーへの直接転送によって流出する。

ひび割れた画面の背後には混沌としたデジタルの街並みが描かれており、サービスの中断、データの破壊、金銭的損失など、サイバー攻撃の破壊的影響を象徴している。
インパクト

RansomHub の暗号化によって被害者のシステムは操作不能となり、多くの場合、大規模なオペレーションのダウンタイムが発生します。アフィリエイトはバックアップやボリュームシャドウコピーを削除して復旧作業を阻止し、被害者に身代金を支払うよう最大限の圧力をかけます。

MITRE ATT&CK マッピング

RansomHubが使用するTTP

TA0001: Initial Access
T1566
Phishing
T1190
Exploit Public-Facing Application
TA0002: Execution
T1059
Command and Scripting Interpreter
TA0003: Persistence
No items found.
TA0004: Privilege Escalation
No items found.
TA0005: Defense Evasion
T1562
Impair Defenses
TA0006: Credential Access
T1003
OS Credential Dumping
TA0007: Discovery
No items found.
TA0008: Lateral Movement
T1021
Remote Services
TA0009: Collection
No items found.
TA0011: Command and Control
No items found.
TA0010: Exfiltration
T1048
Exfiltration Over Alternative Protocol
TA0040: Impact
T1486
Data Encrypted for Impact
プラットフォーム検出

Vectra AIを使った検知 RansomHubの方法

Azure AD MFA-Failed Suspicious Sign-On

Azure AD Privilege Operation Anomaly

M365 Suspect Power Automate Activity

Privilege Anomaly: Unusual Host

Ransomware File Activity

Suspicious Remote Desktop Protocol

もっと見る
攻撃の危険性を評価する

よくあるご質問(FAQ)

RansomHubは主にどのような業界をターゲットにしていますか?

RansomHubは、ヘルスケア、金融サービス、政府施設などの重要インフラ部門を攻撃する。

RansomHubの影響を最も受けている国は?

このグループは主に米国とヨーロッパの組織を標的にしており、CIS諸国、キューバ、北朝鮮、中国は避けている。

RansomHubはどのようにして最初のアクセスを得るのですか?

アフィリエイトは、既知の脆弱性を悪用し、フィッシング攻撃を使用し、盗んだ認証情報を活用してシステムに侵入する。

RansomHubのデータ流出方法とは?

彼らはRcloneやWinSCPのようなツールを使って、暗号化されたチャンネル経由で機密データを流出させる。

RansomHub はどのようにしてネットワーク内の権限をエスカレートさせるのですか?

アフィリエイトはMimikatzのようなツールを使って認証情報を取り出し、システムレベルの特権にエスカレートする。

RansomHub はどのような暗号化方式を採用していますか?

RansomHubの関連会社は、Curve 25519楕円曲線暗号を使って被害者のファイルをロックする。

RansomHub のアフィリエイトはどのようにして検出を回避するのですか?

セキュリティツールを無効にし、ログを消去し、ランサムウェアの実行ファイルの名前を変更して正規のファイルに紛れ込ませる。

RansomHubは横移動にどのようなツールを使っていますか?

リモート・デスクトップ・プロトコル(RDP)、AnyDesk、PsExecなどのツールは、侵害されたネットワーク内で横方向に移動するために使用されます。

RansomHub攻撃を防ぐには、どのような緩和策が有効か?

フィッシング耐性のある多要素認証 (MFA) の導入、脆弱性へのパッチ適用、ネットワークのセグメント化は、重要な緩和戦略である。

RansomHub攻撃の影響は?

被害者はしばしば、暗号化とバックアップの削除による大幅なダウンタイムとデータ損失を経験し、業務麻痺と高額な身代金要求につながる。

あなたの組織はランサムハブ攻撃から安全ですか?

攻撃の危険性を評価する