Nefilim ランサムウェア グループは、最もよく知られた、または最も活発なオンライン恐喝グループではないかもしれませんが、最新の調査によると、売上高 10 億ドル以上の少数の企業を攻撃する傾向があり、それが成果を上げています。
このグループは、悪名高い米国コロニアル・パイプライン攻撃の実行犯であるダークサイドなどのよく知られた犯罪者に比べると、比較的注目を集めることは少ないが、セキュリティ企業のトレンドマイクロの分析によると、この犯罪者たちは相応の高額な身代金を得ることを期待して大企業を狙っているようだ。
トレンドマイクロは火曜日に発表した報告書の中で、「2020年3月から2021年1月にかけて調査した16のランサムウェアグループのうち、Conti、Doppelpaymer、Egregor、REvilが被害件数でトップを占め、Cl0pはオンラインでホストされた盗難データ量が5TBと最も多かった。しかし、10億ドル以上の収益を上げている組織を容赦なく狙うNefilimは、最も高い中央値の収益を脅し取った」と述べた。
この情報は、アイルランド保健サービス執行部や米国コロニアル・パイプライン・カンパニーなど、西側諸国で増加しているランサムウェアの被害者にとってはほとんど慰めにはならないだろう。
これらの攻撃は、国家の重要なインフラに広範囲にわたる影響を与えたため、非常に注目を集めましたが、他のランサムウェア攻撃者は、依然として、多額の金銭の獲得を目的とした昔ながらの攻撃を続けています。
Trend によると、Nefilim は 2019 年後半に初めて確認されたランサムウェア集団であり、実際の攻撃は 2020 年 3 月に確認されています。ちょうど COVID-19 パンデミックによって全世界がオンライン化され、リモート ワークに移行した頃です。
トレンドマイクロは、識別可能な漏洩ファイルに基づき、Nefilimランサムウェア集団の収益別標的を分析した。クリックして拡大
大企業を標的にしていたにもかかわらず、Nefilim のアクセス方法は、情報セキュリティ業界が常に警告してきた方法とまったく同じだったとトレンドマイクロは述べ、次のように説明している。「Nefilim ランサムウェア攻撃の場合、当社の調査により、最初のアクセスを取得するために、公開されている RDP サービスと、Citrix アプリケーション配信コントローラーの脆弱性 [CVE-2019-19781] が使用されていたことが明らかになりました。」
- アイルランドの医療サービスがランサムウェア攻撃を受け、病院は外来診療の予約をキャンセル
- コロニアル・パイプラインがランサムウェア集団に支払った75ビットコインのうち63.7%をアメリカ政府が回収
- ネットワークに侵入するが、何もしない「初期アクセスブローカー」が盗んだ認証情報を7千ドルで転売
- マルウェアなんて必要ありません。IBMによると、ハッカーの多くは現在、PowerShellを使ってボックスから侵入し、痕跡をほとんど残さないそうです。
トレンド社はまた、ランサムウェアビジネスチェーンにおいて重要な役割を担う、標的のネットワークに最初に侵入し、その不正アクセスを他の犯罪組織に販売する、いわゆる初期アクセスブローカーに関するデジタルシャドウズの過去の調査にも言及した。
「アクセス価格は大きく異なっており、ランダムな被害者資産の場合は数十ドルから、分類された資産の場合は数百ドル、あるいは数千ドルに及ぶ場合がある。大規模組織のインフラへのアクセスには5桁から6桁の費用がかかることもある」と報告書は述べている。
トレンドマイクロの副研究員であるバラト・ミストリー氏は、ランサムウェア集団のビジネスモデルは西側諸国のIT市場のものと同じくらい発達しており、さまざまな犯罪者グループがさまざまな要素の攻撃を実行しているとレジスター紙に語った。
「これには完全なパートナーモデルが付随しています。ご存知のとおり、ランサムウェア・アズ・ア・サービス(RaaS)の運営者は、そこから得られる利益の約20~30%を受け取り、残りはパートナーに渡ります。つまり、提携企業にとって利益率が高いということです。」
犯罪組織は「AdFind、Cobalt Strike、Mimikatz、Process Hacker、PsExec、MegaSyncといった正規ツールを広く利用し、ランサムウェア攻撃者が身を隠したまま最終目的を達成できるよう支援している」とも言われています。同様に、情報セキュリティの世界では、正規ツールを転用して所有者に悪用する「LoLBin」(Living Off-Land Binary)と呼ぶ人もいます。つまり、PowerShellのようなツールは企業ネットワークで広く利用されているものの、同じネットワークへの攻撃に悪用される可能性があるということです。
Nefilim の活動には驚くほど独特な点は何もないが、それ自体が企業の情報セキュリティ担当者にとって教訓となるはずだ。悪意のある人物が雇用主のネットワークを蹂躙するのは、大きな恐ろしい脆弱性ではなく、誰もが警告しているにもかかわらず、何らかの理由でパッチを当てられていない脆弱性なのだ。®
