NoName ransomware gang deploying RansomHub malware in recent attacks

NoNameランサムウェア・ギャングは、暗号化ツールを使って世界中の中小企業をターゲットに3年以上にわたって評判を高めようとしており、現在はRansomHubのアフィリエイトとして活動している可能性がある。

このギャング団は、Spacecolonマルウェア・ファミリーとして知られるカスタム・ツールを使用し、ブルートフォース手法でネットワークにアクセスした後、EternalBlue(CVE-2017-0144)やZeroLogon(CVE-2020-1472)のような古い脆弱性を悪用して展開します。

最近の攻撃では、NoNameはScarab暗号化ツールに取って代わるScRansomランサムウェアを使用しています。さらに、脅威行為者は、流出したLockBit 3.0ランサムウェアビルダーで実験し、同様のデータ流出サイトを作成し、同様のランサムノートを使用することで、名を馳せようとしました。

ScRansom ランサムウェア

サイバーセキュリティ企業のESETは、NoNameギャングをCosmicBeetleとして追跡しており、Delphiベースのファイル暗号化マルウェアであるScRansomが出現した2023年以降、その活動を追跡しています。

本日発表されたレポートの中で研究者は、ScRansom(Spacecolonマルウェア・ファミリーの一部)はランサムウェア・シーンにおける他の脅威ほど巧妙ではないが、進化を続ける脅威であると指摘している。

このマルウェアは、攻撃者がある程度多用途に使用できるように、異なる速度モードによる部分的な暗号化をサポートしており、ファイルの内容を一定の値に置き換えて復元不可能にする「ERASE」モードも備えている。

ScRansom は、固定、リモート、およびリムーバブル・メディアを含むすべてのドライブでファイルを暗号化することができ、オペレータはカスタマイズ可能なリストを通じてターゲットとするファイル拡張子を決定することができる。

暗号化ツールを起動する前に、ScRansom は Windows Defender、ボリューム・シャドウ・コピー、SVCHost、RDPclip、LSASS、VMware ツールに関連するプロセスなど、Windows ホスト上のプロセスとサービスのリストを停止する。

ESETは、ScRansomの暗号化スキームはかなり複雑で、AES-CTR-128とRSA-1024のコンボを使用し、公開鍵を保護するために生成された追加のAES鍵を使用していると指摘している。

ScRansom's encryption scheme
ScRansom の暗号化スキーム
出典:ESET:ESET

しかし、複数の鍵交換を伴うマルチステッププロセスでは、正しい鍵を使用してもファイルの復号化に失敗するエラーが発生することがあります。

また、ランサムウェアが同じデバイス上で2度目、あるいは複数の異なるシステムからなるネットワーク上で実行された場合、一意の鍵と被害者IDの新しいセットが生成されるため、復号化プロセスがかなり複雑になります。

ESET は、ScRansom を支払った後に 31 個の復号化 ID と AES ProtectionKeys を受け取った被害者が、暗号化されたファイルをすべて復元できなかったという事例を紹介しています。

“この復号化のアプローチは、未熟なランサムウェアの脅威行為者にとって典型的なものです。熟練した暴力団は、正しい復号化の可能性を高めるために、復号化プロセスをできるだけ簡単にすることを好みます。”-ESET

NoNameはブルートフォース(総当たり攻撃)を使ってネットワークにアクセスしているが、この脅威主体はSMB環境に存在しやすいいくつかの脆弱性も悪用している:

– CVE-2017-0144(別名EternalBlue)、
– CVE-2023-27532(Veeamバックアップ&レプリケーション・コンポーネントの脆弱性)
– noPacを介したCVE-2021-42278およびCVE-2021-42287(AD権限昇格の脆弱性
– CVE-2022-42475 (FortiOS SSL-VPN の脆弱性)
– CVE-2020-1472 (別名 Zerologon)

トルコのサイバーセキュリティ企業であるPure7の最近のレポートでは、Windows Defenderの機能、サービス、またはタスクを無効にするためにWindowsレジストリに変更を加えるバッチファイル(DEF1.bat)を介したNoNameの攻撃でもCVE-2017-0290が悪用されていることにも言及しています。

RansomHubツールを展開するNoName

NoNameがRansomHubのアフィリエイトに昇格する前には、ランサムウェアビジネスに対するギャングの献身を示す一連の動きがあった。ScRansomはシーンで確立された名前ではなかったため、ギャングはその知名度を高めるために異なるアプローチを取ることにしました。

2023年9月、CosmicBeetleはダークウェブ上に「NONAME」というブランドの恐喝サイトを立ち上げたが、これはLockBitデータ漏洩サイト(DLS)の修正コピーであり、ScRansomではなくLockBitによって実際に侵害された被害者が含まれていたことが、複数のDLS追跡サービスをチェックした結果、研究者らによって発見された。

The NONAME-branded portal
NONAMEブランドのポータル
:ESET

2023年11月、脅威行為者は、ドメインlockbitblog[.]infoを登録し、LockBitのテーマとロゴでDLSをブランド化することで、なりすましの取り組みを強化しました。

Clone LockBit 3.0 site by CosmicBeetle
CosmicBeetle が運営するクローン LockBit 3.0 サイト
ソースはこちら:ESET

研究者たちはまた、LockBitのサンプルが展開されたものの、身代金要求書には被害者IDが記載されており、それがすでにCosmicBeetleにリンクされていた最近の攻撃も発見しています。さらに、このインシデントのツールセットは、CosmicBeetle/NoName脅威行為者に起因するマルウェアと重複していました。

「流出したビルダーを使用することは、未熟なランサムウェアギャングにとって一般的な手法です。リークされたビルダーを使用することで、確立された競合のブランドを悪用することができ、また、通常は正常に動作するランサムウェアのサンプルを提供することができます

ESETの研究者は、6月初旬に失敗したScRansomの展開から始まったランサムウェア・インシデントを調査していたところ、脅威の主体が1週間も経たないうちに同じマシンでRansomHubのEDRキラーを実行していたことを発見しました。これは、正規の脆弱なドライバを標的のデバイスに展開することで、特権の昇格やセキュリティ・エージェントの無効化を可能にするツールです。

その2日後の6月10日、ハッカーは侵入したマシンでRansomHubランサムウェアを実行した。

研究者は、RansomHubの関連会社ではなく、CosmicBeetleらしいEDRキラーの抽出方法に注目している。

RansomHubのコードやそのビルダーが公にリークされていないことから、ESETの研究者は “CosmicBeetleが新たなRansomHubのアフィリエイトとして登録したと中程度の確信を持って考えている “という。

RanssomHubとの提携は確かではないが、ESETによると、ScRansom暗号化ソフトは活発に開発中であるという。ScRansomからLockBitへの切り替えと合わせて、CosmicBeetleが諦める兆候を見せていないことを示している。