ALPHVのランサムウェアは、身代金を支払わない標的からのデータ検索を容易にする - TechRepublic

ALPHV（別名BlackCat）は、Rustプログラミング言語で開発されたランサムウェアです。Rustは様々なOS向けにコンパイルやカスタマイズが容易なため、脅威アクターにとって標的となる範囲が広がります。Rustはパフォーマンスと信頼性が向上した、より安全なプログラミング言語でもあります。マルウェア開発においてRustが利用されることは、まだほとんどありません。

このグループは、2021年後半から勢いを増し、米国を含む世界中の60以上の組織を標的にしています。このグループはRansomware-as-a-Service（RaaS）というビジネスモデルを採用しており、マルウェアコードとインフラを関連企業に提供し、関連企業が標的への攻撃を担当しています。FBIによると、ALPHVの開発者やマネーロンダリングを行う者の多くは、DarksideやBlackmatterといったランサムウェアグループと関連があるとのことです。

恐喝手法のアップデート

脅威の攻撃者は複数の恐喝手法を使用しており、その 1 つは、被害者が身代金 (通常は Monero や Bitcoin などの暗号通貨で 40 万ドルから 300 万ドル) を支払いたくない場合に、ターゲットからデータを盗み出し、そのデータを漏洩サイトで拡散するというものです。

同グループはまた、標的にさらに圧力をかけるために、被害者のデータ漏洩を検索できる検索エンジンを提供するという新たな方法を使うことを決定した。これは、Cyble の新しい発表で明らかになった。

ALPHV 脅威アクターの最近の被害者の 1 人は、.xyz ドメイン拡張子を持つ被害者の名前を使用して特定のドメインを作成し、攻撃者がそれを使用して被害者の社会保障番号、生年月日、電子メールアドレスを検索できるようにしたことを目撃しました (図 A )。

図A

画像: Cyble。ALPHV は、ターゲットの個人情報を検索できるデータベースへのリンクを提供します。

これまでのところ、Cybleはこの手法が使用された被害者を1件しか確認しておらず、脅威アクターは標的に複数のドメイン名を作成するという戦略を再考したようです。代わりに、アフィリエイトに単一のホスティングリソースを使用する旨を示すメッセージを投稿しました（図B）。

図B

画像：Cyble。ALPHVサポートは、加盟団体に新しい「逆子サーフィン」リソースについて伝えています。

ALPHVの脅威アクターは、今後標的となるすべてのデータがインデックス化され、ワイルドカード、ファイル名、コンテンツによる検索が可能になると示唆しています。これにより、データは「サイバー犯罪者コミュニティにとってより利用しやすくなり」、企業は漏洩に対する姿勢を再考することになるだろうとしています。

参照：パスワード侵害：ポップカルチャーとパスワードが混ざらない理由（無料PDF）（TechRepublic）

Cyble のスクリーンキャプチャによると、ALPHV によって作成された検索可能なデータベースはすでに利用可能であり、ALPHV Collections と呼ばれています。(図 C )

図C

画像: Cyble。ALPHV Collections は、身代金を支払わないターゲットからのすべての漏洩情報を含む検索可能なデータベースです。

検索可能なデータベースというアイデアはよく考えられています。ランサムウェアの漏洩からデータベース全体をダウンロードするのは困難または面倒な場合があります。そのため、攻撃者にとっては、データベース全体をダウンロードせずにクエリを実行する方がはるかに容易になり、攻撃範囲が拡大します。

ALPHV Collectionsのサプライチェーンに対するリスク

Cybleの研究者が指摘しているように、過去には複数のインシデントで、脅威アクターが漏洩した認証情報を利用してサプライチェーン攻撃を実行した事例が見受けられました。ALPHVの検索可能なデータベースには有効な認証情報が含まれており、他の脅威アクターが容易に同様の攻撃を実行できる可能性があります。パスワードが平文で保存されている場合、攻撃者はALPHV Collectionsデータベースに問い合わせるだけで、様々な企業やサービスの完全に機能する認証情報を入手できてしまう可能性があります。