ALPHV Second Most Prominent Ransomware Strain Before Reported Downtime
2023/12/18 infoSecurity — ALPHV グループの Web サイトが先日に削除されたが、それ以前の 2022年1月〜10月において、このランサムウェア系統が、北米/欧州で2番目に多く活動していたことが、ZeroFox の調査により明らかになった。同社の分析によると、BlackCat の別名で知られる ALPHV は、21カ月の期間に北米で発生した、ランサムウェアおよびデジタル恐喝 (R&DE) 攻撃の約 11% を占めていたことが判明した。それは、LockBit グループに次ぐものである。
また、ALPHV はヨーロッパで2番目に多く利用されたランサムウェア株であり、すべての脅威の 6% を占めていたという。ZeroFox レポートによると、ALPHV の世界的な活動は、2023年Q3に減少してはいるが、2023年を通年で見ると、前年比で大幅に増加したことも判明した。この期間において、ALPHV が最も注力したのは北米の組織への攻撃であり、全体の 56% を占めている。それに続くのが、欧州の 20% である。
噂される混乱による ALPHV の影響は?
2023年12月の初めに、この RaaS (Ransomware-as-a-Service) ギャングのインフラが障害に見舞われたと報告されたが、法執行機関の行動によるものだと、専門家たちは指摘している。
このシャットダウンは歓迎すべきことではあるが、ZeroFox の Senior Intelligence Analyst である Daniel Curtis は、「Web サイトの停止は、サイバー犯罪グループにとって頻繁に発生することであり、その結果として期待できるのは、一時的な脅威の抑制過ぎない。この恐喝カルテルのブログは、現時点において長時間のダウンタイムを経験している。このようなエコシステムでは、しばしば起こることであり、通常は非公開の法執行活動/カルテル間の抗争/ネットワークのメンテナンスの結果である」と述べている。
Daniel Curtis は、もし ALPHV のアフィリエイトたちが、この系統を展開できなくなった場合には、被害者をターゲットにし続けるために、他の R&DE サービスに素早く軸足を移すだろうと付け加えている。
ALPHV 侵入ベクター
ZeroFox の研究者たちが特定したのは、ALPHV の活動期間において展開された各種の手法である:
- インターネットに面したアプリケーションの悪用:リモート・コード実行/権限昇格/アクセス制御などの、各種の脆弱性が悪用された。
- ソーシャルエンジニアリング:スピアフィッシング/ビッシング/大量の悪意の通信などの、さまざまなソーシャルエンジニアリングの手法が用いられ、それにより、リモートからのマルウェアの配信/実行が行われた。
- MaaS (Malware-as-a-Service):ALPHV のアフィリエイトは、第一段階のシステム侵害を開始するために、 MaaS である Emotet を活用していることが確認されている。
- 外部リモートサービス:RDP (Remote Desktop Protocol) を悪用し、正規のユーザー認証情報を利用して被害者のネットワークにアクセスした。
- Drive-by Compromise:一部のアフィリエイトは、閲覧過程で Web サイトにアクセスするユーザーを介して、その Web ブラウザによりシステムにアクセスした。
- 有効なアカウント:侵害した認証情報を使用して、アクセス制御の回避/永続性の確立/特権の昇格/検知の回避などを達成していた。
ALPHV のシャットダウンについては、2023/12/11 の「ALPHV/BlackCat のサイトがシャットダウン:法的執行機関による対応か?」と、2023/12/13 の「LockBit が ALPHV/BlackCat/NoEscape のアフィリエイトたちを勧誘」で、すでにお伝えしています。それにしても、ALPHV/BlackCat による被害は大きかったようです。
IoT OT Security News 
You must be logged in to post a comment.