US Authorities Issue RansomHub Ransomware Alert
2024/09/02 InfoSecurity — 8月29日に CISA が発表した “#StopRansomware: RansomHub Ransomware” は、ランサムウェア・グループ RansomHub に関する共同サイバー・セキュリティ・アドバイザリである。二重恐喝のテクニックを用いる RansomHub は、少なくとも 210社の被害者からデータを窃取/暗号化し、流出させたと見られている。その被害者の範囲は、医療/IT/政府/緊急サービス/食品・農業/上下水道などに及び、さらには製造/輸送/通信などの重要インフラにも達している。
CISA が公開したアドバイザリには、TTPs (tactics, techniques and procedures)/IOC (indicators of compromise) や、組織が自衛のために取るべき措置が詳述されている。
RansomHub の TTPs
CISA によると、RansomHub はシステムを暗号化してデータを流出させることで、被害者にプレッシャーをかける二重恐喝の常習犯であるという。そして、RansomHub はアフィリエイト・モデルで動いているため、被害者のネットワークに侵入したアフィリエイトごとに、データ流出の方法は異なるものになる。
同機関によると、RansomHub の一般的なアフィリエイトは、フィッシングやパスワード・スプレー攻撃、あるいは、既知の脆弱性を悪用することで、インターネットに面したシステムやユーザーのエンドポイントを侵害するという。
RansomHub のアフィリエイトたちは、ネットワーク内への侵入に成功すると、データを暗号化してランサムウェアのメモを投下するが、大抵の場合において、そのメモには身代金の要求や支払いの詳細は記載されないという。
その代わりに、被害者にはクライアント ID が与えられ、Tor ブラウザを介した “.onion” URL 経由で、グループに連絡するよう促される。研究者たちによると、被害者には、通常で 3〜90日の支払い猶予が与えられ、支払わなければデータが Tor データ・リークサイト RansomHub に流出すると脅されるという。
同グループは、データの暗号化に、楕円曲線暗号化アルゴリズム Curve 25519 を使用し、断続的な暗号化を使用している。なお、このランサムウェアはデータを標的としており、実行ファイルを暗号化することはない。
CISA はアドバイザリの中で、潜在的な IoC として、IP アドレス (多くは QakBot にリンクしている) と電子メールアドレスを挙げている。
RansomHub 攻撃への対処方法
このアドバイザリでは、RansomHub のアフィリエイトに狙われていると思われる場合の対処法も提示されている。そのような状況に陥った場合に推奨されるのは、影響を受ける可能性のあるホストのオフライン化/再イメージ化に加えて、新しいアカウント認証情報を発行することである。さらに、不審な挙動がないかシステムを監視する必要もある。
また、CISA とパートナー機関が、ユーザー組織に対して助言するのは、複数に分割したバックアップにデータを保持し、パスワード・ポリシーについて NIST のガイダンスに従うことである。さらに、組織におけるテストや演習を通じてセキュリティ管理を検証するよう、CISO は徹底すべきだとしている。
この共同サイバーセキュリティ・アドバイザリ “StopRansomware: RansomHub Ransomware” は、FBI/CISA/MS-ISAC (Multi-State Information Sharing and Analysis Center)/HHS (Health and Human Services) により発表されている。
つい先ほどにポストした、「Cicada3301 という新たな Rust RaaS:VMware ESXi システムを標的にしている」という記事には、Cicada3301 RaaS のアフィリエイトたちが、活発に動き回っている状況が記されていました。その一方では、この RansomHub も積極的に活動しているようです。あちらこちらに、脅威が広がっている状況です。十分に ご注意ください。よろしければ、カテゴリ Ransomware も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.