連邦捜査局(FBI)、サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)、財務省(財務省)、金融犯罪取締ネットワーク(FinCEN)は、Karakurtデータ恐喝グループに関する認識を高め、情報提供するために、新しい共同サイバーセキュリティ勧告(CSA)を発行しました。
Karakurt データ恐喝グループとは何ですか?
Karakurt Data Extortion Group(別名 Karakurt Team、Karakurt Lair)は、1週間以内にビットコイン(BTC)で25,000ドルから13,000,000ドルの身代金を支払わなければ、盗んだ社内データを公開すると企業を脅迫する脅威アクターです。
AdvIntel によると、Karakurt チームは CONTI 脅威アクターのサブグループです (図 A 参照)。
参照:ダークウェブ:ビジネスプロフェッショナル向けガイド(無料PDF)(TechRepublic)
AdvIntelの研究者によると、このサブグループは、ランサムウェアによる身代金要求が不可能な場合に、被害者の侵害から利益を得るために設立されたとのことです。CONTIが使用するランサムウェアは、技術的な問題や権限の問題で実行できなかったり、データの暗号化に失敗したりすることが頻繁に発生しており、その結果、収益がゼロになってしまうようです。そのような場合、Karakurtチームはデータの暗号化ではなく、データの盗難から利益を得ることに取り組むことができます。
図A
- 画像: AdvIntel。CONTIとKarakurtチームの同点。
手口
Karakurt チームは、ランダムに選択されたターゲットに対してさまざまな戦術、テクニック、手順 (TTP) を採用します。
脅威アクターが標的へのアクセスを可能にする最初の侵害は、通常、有効なログイン認証情報の取得を伴います。認証情報は、購入、犯罪の共犯者との交換、あるいは既に侵害を受けている被害者からのアクセス購入などによって取得されます。これは、サードパーティの初期アクセス・ブローカー(IAB)を介して行われます。
脅威アクターは、初期アクセスのために一般的な脆弱性を悪用する能力も備えています。悪名高いLog4Shellの脆弱性、脆弱な旧式のVPNアプライアンス、悪意のあるMicrosoft Officeマクロなどがその例です。
Karakurtチームは有効なアクセスを取得すると、Cobalt Strikeビーコンを展開してネットワークを列挙し、その後、mimikatzをインストールして使用し、さらなる認証情報を収集します。また、AnyDeskソフトウェアを使用して永続的なリモート制御を取得し、システム内で権限を昇格させてネットワークを横方向に移動するためのツールも利用します。
Karakurtチームの次の動きは、大量のデータの窃取です。多くの場合、ネットワークに接続された共有ドライブ全体を7zipで圧縮し、オープンソースアプリケーションやFTP(ファイル転送プロトコル)サービスを利用して窃取します。そのデータ量は1TBを超えることもあります。
その後、侵入されたメールネットワークや外部のメールアカウントから送信されたメールを通じて、従業員に身代金要求のメールが送信されます。このメールには、Karakurt Team の身元情報と、アクセスコードが記載された TOR URL へのリンクが含まれています。
そのリンクをクリックしてアクセス コードを使用すると、Karakurt の脅威アクターと交渉するためのチャット アプリケーションが開きます。
この勧告では、「Karakurtの被害者は、Karakurtの攻撃者による大規模な嫌がらせキャンペーンを報告しています。従業員、ビジネスパートナー、顧客は、被害者データの拡散を防ぐために攻撃者と交渉するよう促すような警告を含む多数のメールや電話を受け取ります。これらの通信には、盗難データのサンプル、主に雇用記録、健康記録、金融取引記録などの個人識別情報(PII)が含まれることがよくあります」と述べています。
脅威アクターは、盗まれたデータのファイルツリーを示すスクリーンショットをさらに提示することができます。データ削除の料金に合意すると、被害者には支払いを行うための、これまで使用されていない新しいビットコインアドレスが提示されます。
支払いが完了すると、Karakurt チームはデータ削除の証拠(削除中のファイルの画面録画、削除ログ ファイル、またはストレージ サーバーにアクセスするための資格情報)を提供し、被害者が自分でデータを削除できるようにします。
Karakurt Teamは、過去にランサムウェアの被害を受けた企業や、ランサムウェアの脅威アクターによる同時攻撃を受けた企業を攻撃したケースがあります。これは、Karakurt Teamが初期アクセスを購入し、それを同時に他のランサムウェア脅威アクターに販売していることを示唆しています。
最後に、Karakurt チームは、被害者に対する侵害の程度を誇張し、ストレージ容量よりも大きなボリュームの盗難や、被害者に属さないデータの盗難を主張することがあります。
この脅威からどのように身を守るのでしょうか?
まず、企業内の機密データは、セグメント化されたストレージ、または物理的に分離されたストレージに安全に保管する必要があります。また、安全なコピーを複数作成する必要があります。さらに、データは定期的にバックアップし、少なくともパスワードで保護し、オフラインで保存する必要があります。
参照:サイバーセキュリティのプロになる方法:チートシート(TechRepublic)
共通の脆弱性による侵害を回避するには、すべてのオペレーティングシステムとソフトウェアを常に最新の状態に保つ必要があります。また、すべてのエンドポイントとサーバーにセキュリティソフトウェアを導入する必要があります。
さらに、管理者権限は業務に必要な従業員にのみ付与し、社内では最小権限アクセスの原則に基づいてアクセス制御を設定する必要があります。さらに、すべての従業員のアクセスに対して多要素認証(MFA)を設定する必要があります。ドメインコントローラー、サーバー、ワークステーション、およびActive Directoryについても、新規アカウントや認識されていないアカウントがないか定期的に確認する必要があります。
最後に、特にフィッシングとスピアフィッシングに関して、サイバーセキュリティに関するトレーニングと意識啓発を従業員に提供する必要があります。
開示:私はトレンドマイクロに勤務していますが、この記事で述べられている意見は私自身のものです。
