btzgrp
  • Salesforceは、リモートワークのニューノーマルにおいて、ローコードをデジタルトランスフォーメーションを推進する重要な手段と捉えている - TechRepublic
Headlines

FIN7脅威アクターがランサムウェア活動を更新

05 mins
FIN7脅威アクターがランサムウェア活動を更新
istock-667865844.jpg
Kirill_Savenko、ゲッティイメージズ/iStockphoto

FIN7は、主に金融情報の窃取を目的とする脅威アクターですが、企業から窃取した機密情報の売買も行っています。Carbanakとして知られるこの組織化されたグループは、2013年に活動を開始したと推定され、POSマルウェアを用いた銀行詐欺やクレジットカード情報の窃取を専門としています。また、ATMに侵入し、悪意のあるスクリプトを仕込んで金銭を詐取する手口も見受けられます。このグループは、高度な技術力と高い攻撃力で知られています。

FIN7は、システムを侵害するために、メールを介したフィッシングキャンペーンの実行や、ProxyLogon/ProxyShellなどの一般的な脆弱性を悪用して標的のインフラに侵入するなど、様々な手法を駆使します。また、アンダーグラウンド市場で窃取した認証情報を購入し、独自に開発したツールでテストしてから、標的の環境にアクセスします。

FIN7はBadUSB攻撃も利用します。これは、キーボードを模倣したアクティブペイロードが仕込まれたUSBスティックをコンピュータに接続するとすぐに実行される攻撃です。FIN7は、このようなデバイスを「ギフト」としてホスピタリティ業界や販売業界の従業員に郵送し、偽のBestBuyギフトカードを添えて、ユーザーにUSBデバイスの使用を促しました。

ジャンプ先:

  • FIN7のランサムウェア活動
  • FIN7の巨大で組織化された構造
  • FIN7のターゲット
  • サイバーセキュリティの脅威から組織を守る方法

FIN7のランサムウェア活動

FIN7は2020年にランサムウェアの使用を開始し、Sodinokibi、REvil、LockBit、DarkSideといった最も活発なランサムウェアグループに所属していました。脅威アクターは、POSデバイスを標的とした攻撃はランサムウェア攻撃に比べて収益性が低いと判断したようです。

FIN7はランサムウェアを実行するために、企業とその収益に関する公開情報に基づいて標的を選定します。小規模な企業よりも身代金を早く支払ってくれる可能性のある、収益の高い企業を狙います。標的の収益は身代金の額の計算にも使用されます。

標的のネットワークへの最初のアクセス権を取得すると、FIN7 はネットワーク内に広がり、ファイルを盗んでからランサムウェア コードによって暗号化します。

参照:パスワード侵害:ポップカルチャーとパスワードが混ざらない理由(無料PDF)(TechRepublic)

PRODAFTの研究者が暴露した会話の漏洩によると、身代金が支払われると、25%がランサムウェア開発者に、20%がネットワークへのアクセスと操作の技術的側面を担当する人物に渡る。残りの金銭のうち最も高額な金額は、身代金処理を担当するチームの責任者に渡る。この分配後の残りの金銭は、グループのメンバー間で分配される。

FIN7は、既に身代金を支払った企業を再び標的にする可能性もあります。メンバー間の会話の漏洩によると、同じ脆弱性が修正されていない場合、FIN7は別のランサムウェアでシステムに戻ってくる可能性があり、別のランサムウェア攻撃者を装って2度目の身代金要求を企てる可能性があるようです。

FIN7の巨大で組織化された構造

PRODAFT の研究者は FIN7 の組織構造の一部を公開し、グループの主要な構成要素であるチームリーダー、開発者、侵入テスト担当者、関連会社を明らかにしました。

チームリーダーは、企業へのコンピュータ侵入やランサムウェア攻撃の経験豊富な首謀者です。開発者も経験豊富で、グループが使用するカスタムツールやマルウェアの開発に責任を負っています。

FIN7の関連会社は、複数のランサムウェア攻撃グループのために活動している場合もあります。さらに、彼らは活動中に窃取したクレジットカード情報を販売しています。

さらに驚くべきことに、FIN7の指導部は、十分な仕事をしていないように見える組合員に対して、時折脅迫的な言葉遣いをしているようです。組合員が辞職したり、責任から逃れようとしたりした場合には、家族を脅迫するほど深刻な場合もあるようです(図A)。

図A

FIN7の従業員への脅迫メッセージ(ロシア語から翻訳)
画像:PRODAFT。FIN7チームマネージャーからのメッセージ。ロシア語から翻訳されたもので、仕事を辞めたり姿を消したりする人々への脅迫を示すもの。

FIN7のターゲット

FIN7 は世界中で 8,147 のターゲットを攻撃しており、そのうち 16.74% が米国にあります (図 B )。

図B

FIN7の世界中の被害者のヒートマップ
画像: PRODAFT。FIN7 の被害者の世界的分布。

ロシアもまた、攻撃サイクルの後半には決して登場しないものの、標的として頻繁に狙われています。そのため、このヒートマップは、初期段階で企業を狙った大規模な攻撃キャンペーンの優れた指標と捉えるべきです。しかし、FIN7の脅威アクターは、様々な理由から、その多くがその後の攻撃に見合う価値がないと判断しています。8,000以上の標的のうち、実際に攻撃を受け、身代金を要求されるのはごく一部です。

サイバーセキュリティの脅威から組織を守る方法

FIN7は一般的な脆弱性を悪用して標的を攻撃し、企業ネットワークへの最初の足掛かりを築くことがあるため、すべてのオペレーティングシステムとそのソフトウェアは常に最新の状態に更新し、パッチを適用しておく必要があります。エンドポイントとサーバーの動作を監視し、不正なアクセス試行を検出するセキュリティソリューションも導入する必要があります。

さらに、多要素認証は可能な限り導入する必要があります。特にインターネットに接続するシステムやサービスでは、多要素認証が不可欠です。FIN7は企業の有効な認証情報の購入に使用されているため、MFAによってこれらのシステムへのリモートログインが阻止される可能性があります。

最後に、FIN7 は BadUSB 攻撃を使用することがあるため、ユーザーが USB 経由で接続されたデバイスを制御および監視できるようにするデバイス管理ソフトウェアを導入することをお勧めします。

TechRepublic Premium の以下のダウンロードを使用すると、セキュリティ防止が簡単になります: パッチ管理ポリシーとシステム更新ポリシー。

開示:私はトレンドマイクロに勤務していますが、この記事で述べられている意見は私自身のものです。

Tagged:

Related News