Spider

イメージミッドジャーニー

マイクロソフトによると、サイバー犯罪組織Scattered SpiderがQilinランサムウェアを武器に加え、攻撃に使用しているという。

「2024年の第2四半期に、私たちが最も詳細に追跡しているランサムウェアの脅威行為者である、金銭的な動機に基づく脅威行為者Octo Tempestは、キャンペーンにおけるランサムウェアのペイロードにRansomHubとQilinを追加しました

この脅威グループ(Octo Tempest、UNC3944、および0ktapusとしても追跡されている)は、2022年初頭に表面化した後、Microsoft、Binance、CoinBase、T-Mobile、Verizon Wireless、AT&T、Slack、Twitter、Epic Games、Riot Games、およびBest Buyを含む130以上の著名な組織を標的とした0ktapusキャンペーンで悪名を馳せました。

この英語圏のギャング団は、2023年半ばにBlackCat/ALPHVランサムウェアにアフィリエイトとして参加した後、MGM Resortsのシステムも暗号化しており、SymantecによってRansomHubランサムウェア・アズ・ア・サービスにリンクされていた。

11月、FBIとCISAは、Scattered Spiderの戦術、技術、手順(TTP)を強調する勧告を発表した。これには、IT従業員になりすましてカスタマーサービススタッフを騙して認証情報を提供させたり、リモートアクセスツールを使用してターゲットのネットワーク上で永続性を得たりすることなどが含まれる。

その他にも、フィッシング、MFAボミング(別名MFA疲れ)、SIMスワッピングなど、最初のネットワークアクセスに使用する手口も知られている。

Scattered Spider's move to ransomware attacks
ランサムウェア攻撃へのScattered Spiderの動き(マイクロソフト)

Scattered Spiderが参加したばかりのQilinランサムウェアの活動は、2022年8月に「Agenda」の名前で表面化しましたが、わずか1カ月後にQilinとしてリブランディングされました。

過去2年間、Qilin一味はダークウェブのリークサイトで130社以上の企業を名乗ったが、2023年末に攻撃が活発化するまで、彼らのオペレーターは活動していなかった。

2023年12月以来、Qilinはまた、最も先進的でカスタマイズ可能なLinux暗号化ソフトの1つを開発し、VMware ESXi仮想マシンを標的としている。

企業を標的とする他の多くのランサムウェアグループと同様に、Qilinのオペレーターは企業のネットワークに侵入し、被害者のシステムを移動しながらデータを抽出する。

管理者認証情報を取得し、すべての機密データを収集した後、ランサムウェアのペイロードを展開してすべてのネットワークデバイスを暗号化し、盗んだデータを活用して二重の恐喝攻撃を行います。

これまでのところ、Qilinの身代金要求額は、被害者の規模にもよるが、最低2万5000ドルから数百万ドルに及ぶと見られている。

先月、英国の国家サイバーセキュリティセンター(NCSC)の最高経営責任者(CEO)は、6月上旬に病理学サービスプロバイダーのSynnovisを襲ったランサムウェア攻撃とQilinを関連付け、ロンドンの複数の主要なNHS病院に影響を与え、数百件の手術と予約をキャンセルさせた。