2024年2月に表面化して以来、RansomHubランサムウェアの関連会社は、米国の重要なインフラ部門から幅広い被害者200人以上に侵入している。
この比較的新しいransomware-as-a-service(RaaS)作戦は、盗まれたファイルを流出させないことと引き換えに被害者を恐喝し、交渉が失敗した場合は文書を最高入札者に売却する。このランサムウェア・グループは、被害者のファイルを暗号化するのではなく、データ盗難に基づく恐喝に重点を置いているが、ナイト・ランサムウェアのソースコードの潜在的な買い手であることも確認されている。
今年に入ってからRansomHubは、米国の非営利信用組合Patelco、ドラッグストアチェーンRite Aid、クリスティーズのオークションハウス、米国の通信プロバイダーFrontier Communications、石油サービス大手Halliburtonへの侵入を主張している。フロンティア・コミュニケーションズはその後、75万人以上の顧客に対し、データ漏洩で個人情報が流出したと警告した。
RansomHubのデータ流出サイトでは、BlackCat/ALPHVランサムウェアの活動が停止した後、盗まれたChange Healthcareのデータも流出した。
FBI、CISA、複数州情報共有分析センター(MS-ISAC)、保健福祉省(HHS)が本日発表した共同勧告でも、脅威行為者が二重の恐喝攻撃で被害者を狙っていることが確認されている。
連邦政府機関は、RansomHub(以前はCyclopsとKnightとして知られていた)は、”効率的で成功したサービスモデル(最近、LockBitやALPHVなどの他の著名な亜種から高プロファイルの関連会社を引き付ける)として自分自身を確立している “と述べた。
「2024年2月の開始以来、RansomHubは、上下水道、情報技術、政府サービスおよび施設、ヘルスケアおよび公衆衛生、緊急サービス、食品および農業、金融サービス、商業施設、重要な製造、輸送、および通信の重要なインフラストラクチャ部門を代表する少なくとも210の被害者からデータを暗号化し、流出している」と勧告は付け加えている。
勧告を作成した4つの機関は、RansomHubランサムウェア攻撃のリスクと影響を軽減するために、本日の勧告にある推奨事項を実施するようネットワーク防御者に助言している。
すでに悪用されている脆弱性へのパッチ適用に注力し、ウェブメール、VPN、重要なシステムにリンクされたアカウントには強力なパスワードと多要素認証(MFA)を使用すること。また、セキュリティ・プロトコルの標準的な部分として、ソフトウェアを常に更新し、脆弱性評価を実施することが推奨されている。
4つの機関はまた、RansomHubの侵害の指標(IOC)と、2024年8月の時点でFBIの調査中に特定された関連会社の戦術、技術、手順(TTP)に関する情報を提供しています。
「身代金の支払いは、被害者のファイルが回復されることを保証するものではないため、身代金の支払いを推奨するものではありません。
「さらに、支払いは、敵対者がさらなる組織を標的にすることを助長し、他の犯罪行為者がランサムウェアの配布に関与することを奨励し、および/または不正な活動に資金を提供する可能性があります。
更新:過去の被害者リストにHalliburton社を追加しました。
Comments