Successful hacking attempt

RIG エクスプロイト キットは最も成功した時期を迎えており、毎日約 2,000 件の侵入を試み、約 30% のケースで成功しています。これは、サービスの長い運用履歴の中で最高の比率です。

RIG EK は、比較的古い Internet Explorer の脆弱性を悪用することで、Dridex、SmokeLoader、RaccoonStealer などのさまざまなマルウェア ファミリを配布することが確認されています。

研究者がサービスのバックエンド Web パネルにアクセスできるようになった Prodaft の詳細なレポートによると、エクスプロイト キットは依然として個人や組織に対する重大な大規模な脅威です。

RIG EK の卑劣な歴史

RIG EK は 8 年前の 2014 年に最初にリリースされ、脆弱なデバイスにマルウェアを拡散するために他のマルウェア オペレーターに貸し出される「サービスとしてのエクスプロイト」として宣伝されました。

RIG エクスプロイト キットは、侵害された Web サイトまたは悪意のある Web サイトに攻撃者によって埋め込まれた一連の悪意のある JavaScript スクリプトであり、マルバタイジングによって宣伝されます。

ユーザーがこれらのサイトにアクセスすると、悪意のあるスクリプトが実行され、ブラウザーのさまざまな脆弱性を悪用して、デバイスにマルウェアを自動的にインストールしようとします。

2015 年、キットの作成者はキットの 2 番目のメジャー バージョンをリリースし、より大規模で成功する操作の基礎を築きました。

しかし 2017 年、RIG は組織的な削除措置によりインフラストラクチャの大部分が破壊され、業務が大幅に中断された後、大きな打撃を受けました。

2019 年に RIG が復活し、今回はランサムウェアの配布に焦点を当て、 Sodinokibi (REvil)、 Nemty 、およびERIS ランサムウェアがデータ暗号化ペイロードで組織を侵害するのを支援しました。

2021 年、RIG の所有者はサービスを終了すると発表しました。しかし、RIG 2.0 は 2022 年に 2 つの新しいエクスプロイト (Internet Explorer の CVE-2020-0674 および CVE-2021-26411) を伴って復活し、過去最高の侵害成功率に達しました。

2022 年 4 月、 Bitdefender は、RIG が Redline 情報窃盗マルウェアを被害者に投下するために使用されていると報告しました

RIG EK が標的とするエクスプロイトの多くは Internet Explorer を対象としていますが、Internet Explorer は Microsoft Edge に長い間置き換えられてきましたが、ブラウザは依然として数百万のエンタープライズ デバイスで使用されており、主要な標的となっています。

現在の攻撃量

Prodaft によると、RIG EK は現在 207 か国を標的としており、1 日平均 2,000 の攻撃を開始し、現在の成功率は 30% です。 Prodaft によると、エクスプロイト キットが 2 つの新しいエクスプロイトで再出現する前は、この割合は 22% でした。

2022 年の感染の試みと侵入の成功
2022 年の感染の試みと侵入の成功(Prodaft)

レポートで公開されたヒートマップが示すように、最も影響を受けた国はドイツ、イタリア、フランス、ロシア、トルコ、サウジアラビア、エジプト、アルジェリア、メキシコ、ブラジルです。しかし、世界中に被害者がいます。

RIG EKの犠牲者
RIG EK (製品)の被害者

成功率が最も高いのは CVE-2021-26411 で、悪用成功率は 45% で、次に CVE-2016-0189 が 29%、CVE-2019-0752 が 10% です。

RIG EK が使用するエクスプロイトとその成功率
RIG EK で使用されるエクスプロイトとその成功率(Prodaft)

CVE-2021-26411 は、 Microsoft が 2021 年 3 月に修正した Internet Explorer の重大度の高いメモリ破損の欠陥であり、悪意を持って作成された Web サイトを表示することによってトリガーされます。

CVE-2016-0189 および CVE-2019-0752 の脆弱性は Internet Explorer にも存在し、ブラウザでのリモート コード実行を可能にします。

CISA は 2022 年 2 月に CVE-2019-0752 のアクティブなエクスプロイト アラートを公開し、システム管理者に脆弱性がまだエクスプロイトされており、利用可能なセキュリティ アップデートを適用するよう警告しました。

さまざまな悪意のあるペイロード

現在、RIG EK は主に情報窃取および初期アクセス マルウェアをプッシュしており、Dridex が最も一般的 (34%)、続いて SmokeLoader (26%)、RaccoonStealer (20%)、Zloader (2.5%)、Truebot (1.8%) が続きます。 、IcedID (1.4%)。

RIG EK によって現在配布されているマルウェアの種類
RIG EK (Prodaft)によって現在配布されているマルウェアの種類

もちろん、RIG EK によって拡散されるマルウェアの種類は、どのサイバー犯罪者がサービスを利用するかによって常に変化します。

Prodaft は以前、Redline、RecordBreaker、PureCrypter、Gozi、Royal Ransomware、および UrSnif の配布も確認しました。

Dridex バンキング型トロイの木馬の配布は特に興味深いものです。なぜなら、RIG オペレータがその配布に問題がないことを確認するための措置を講じた兆候があるからです。

「RIG 管理者は、マルウェアがスムーズに配布されるように、追加の手動構成手順を実行しました」 と Prodaft はレポートで説明しています

「これらすべての事実を考慮して、Dridex マルウェアの開発者が RIG の管理者と密接な関係にあることを確信して評価します。」

Dridex は 1 年前にEntropy ランサムウェア攻撃に関連していたため、RIG EK の侵害がデータ暗号化インシデントにつながる可能性があることに注意してください。

RIG EK は、古いソフトウェアを使用している個人や組織にとって依然として重大な脅威であり、機密性の高いデータを吸い上げることができるステルスな情報スティーラーにシステムを感染させる恐れがあります。

ただし、Microsoft が2023 年 2 月に最終的に Internet Explorer を廃止し、ユーザーを Microsoft Edge にリダイレクトしたため、RIG EK が Internet Explorerに重点を置いているため、サービスがすぐに廃止される可能性があります。