関連インシデント
サイバーセキュリティ研究者が、人工知能 (AI) を活用したランサムウェアの新たな可能性を解明2024年後半に出現したFunkSecと呼ばれる一族は、これまでに85人以上の被害者を出した。
「このグループは二重の恐喝戦術を使い、データ窃盗と暗号化を組み合わせて被害者に身代金を支払わせようとしている」と、Check Point ResearchはThe Hacker Newsに共有された新しいレポートで述べている。「注目すべきは、FunkSecが要求する身代金が異常に低く、時には1万ドル程度で、盗んだデータを第三者に割引価格で販売していたことだ。」
FunkSec は、2024 年 12 月にデータ漏洩サイト (DLS) を立ち上げ、ランサムウェアの運用を「一元化」し、侵害の発表、分散型サービス拒否 (DDoS) 攻撃を実行するためのカスタム ツール、ランサムウェア アズ ア サービス (RaaS) モデルの一部として特注のランサムウェアを重点的に取り上げました。
被害者の大半は、米国、インド、イタリア、ブラジル、イスラエル、スペイン、モンゴルにいます。Check Point によるこのグループの活動の分析では、以前のハクティビスト関連の漏洩から漏洩した情報を再利用して悪名を馳せようとしている初心者のアクターによるものである可能性が高いことが明らかになりました。
Halcyon によると、FunkSec はランサムウェア グループとデータ ブローカーの両方の機能を果たし、盗んだデータを 1,000 ドルから 5,000 ドルで興味のある購入者に売りつけている点で 注目に値する とのことです。
RaaS グループの一部のメンバーがハクティビスト活動に関与していたことが判明しており、国家主体と組織化されたサイバー犯罪者が ますます「戦術、技術、さらには目的の不穏な融合」を示してい��るのと同様に、ハクティビズムとサイバー犯罪の境界がますます曖昧になっていることを強調しています。
また、彼らはインドと米国を標的にしていると主張し、「パレスチナ解放」運動に同調し、現在は解散したハクティビスト団体 Ghost Algeria や Cyb3r Fl00d との連携を試みています。 FunkSec に関連する著名なアクターの一部を以下に示します。
- アルジェリアを拠点とする Scorpion (別名 DesertStorm) というアクターが、Breached Forum などのアンダーグラウンド フォーラムでこのグループを宣伝しています。
- El_farado は、DesertStorm が Breached Forum から追放された後、FunkSec を宣伝する主要人物として浮上しました。
- XTN は、おそらく関係者で、まだ知られていない「データ ソート」サービスに関与しています。
- Blako は、El_farado とともに DesertStorm によってタグ付けされています。
- Bjorka は、インドネシアのハクティビストとして知られており、別名は DarkForums で FunkSec に起因するリークを主張するために使用されています。これは、ゆるやかなつながり、または FunkSec になりすまそうとしていることを示しています。
このグループがハクティビスト活動にも手を出している可能性は、DDoS 攻撃ツールの存在や、リモート デスクトップ管理に関連するツールの存在によって証明されています。 (JQRAXY_HVNC) とパスワード生成 (funkgenerate) です。
「暗号化ツールを含むこのグループのツールの開発は AI の支援を受けた可能性が高いため、作成者が技術的専門知識を欠いているにもかかわらず、ツールが急速に進化した可能性があります」と Check Point は指摘しています。
FunkSec V1.5 と呼ばれるこのランサムウェアの最新バージョンは Rust で書かれており、アーティファクトはアルジェリアから VirusTotal プラットフォームに アップロード されています。このマルウェアの古いバージョンを調べると、ランサムウェアのメモに FunkLocker と Ghost Algeria への言及があることがわかります。これらのサンプルのほとんどはアルジェリアからアップロードされており、開発者自身によってアップロードされた可能性もあることから、脅威アクターはアルジェリア出身であることが示唆される。
ランサムウェアバイナリは、すべてのディレクトリを再帰的に反復処理して標的のファイルを暗号化するように構成されているが、その前に権限を昇格し、セキュリティ制御を無効にし、シャドウコピーバックアップを削除し、ハードコードされたプロセスとサービスのリストを終了する手順を実行する。
「2024年はランサムウェアグループにとって非常に成功した年だったが、それと並行して、世界的な紛争がさまざまなハクティビストグループの活動を活発化させた」と、Check Point Researchの脅威インテリジェンスグループマネージャーであるSergey Shykevich氏は声明で述べた。
「12月に最も活発なランサムウェアグループとして最近登場した新しいグループであるFunkSecは、ハクティビズムとサイバー犯罪の境界を曖昧にしています。政治的アジェンダと金銭的インセンティブの両方に駆り立てられたFunkSecは、AIを活用し、古いデータ漏洩を再利用して新しいランサムウェアブランドを確立していますが、彼らの活動が実際に成功したかどうかは依然として非常に疑問です。」
この展開は、ForescoutがHunters International攻撃を詳述したことを受けてのものです。この攻撃では、おそらくOracle WebLogic Serverを最初のエントリポイントとして利用し、China Chopperウェブシェルをドロップし、その後、一連のエクスプロイト後のアクティビティを実行して最終的にランサムウェアの展開につながりました。
「アクセスを取得した後、攻撃者は偵察と横方向の移動を行ってネットワークをマッピングし、権限を昇格しました」とForescoutは述べています(https://www.forescout.com/blog/hunters-international-ransomware-what-we-learned-from-an-oracle-ws-attack/)。「攻撃者は横方向の移動に、さまざまな一般的な管理ツールやレッドチームツールを使用しました。」