RansomHub の出現と進化
RansomHub は、2024 年初頭に記録的な Change Healthcare 攻撃の真っ只中に生まれました。
Change Healthcareが攻撃を受けたとき、その医療データはランサムウェアの関連会社によって盗まれ、そのシステムはALPHV自身の社内ランサムウェア株によってスクランブルされました。
内なる裏切り
ALPHVの利用規約では、アフィリエイトは2200万ドルの支払いの大部分を獲得することになっていましたが、ALPHVにはカットが与えられていました。 しかし今回は、ランサムウェアの所有者がアフィリエイトのウォレットに侵入し、支払い全体を盗みました。 その後、彼らは見物人を混乱させるために、彼らのウェブサイトに偽のFBI削除通知を貼り付けました。
研究者たちは現在、彼らが不正、詐欺、不正行為を行い、サービスを利用していたアフィリエイトの領域を切断したと考えています。
チャンスをつかむ
この犯罪者の目を見張るような支払いは、自社のランサムウェアプロバイダーによって盗まれていましたが、そのアフィリエイトにはまだ1つのものがありました:テラバイト単位の被害者の健康データです。
同月、長期にわたる世界的な取り組みが激しい結論に達し、かつてのアフィリエイトグループであるLockBitはひざまずきました。 ALPHVに見捨てられたサイバー犯罪者の数は、急速に成長し、新たに単独の日和見主義者が殺到しました。
RansomHubの立ち上げ
2024年4月、Change Healthcareの元の関連会社は、最初にRansomHubと呼ばれる独自の恐喝会社を設立し、その後すぐにChange Healthcareの親会社であるUnitedHealthに、最初のALPHV攻撃で盗んだデータを恐喝するなど、華々しく再浮上しました。 その結果、闇市場での注目が集まり、人気のある身代金手形から金銭的な恩恵がもたらされました。
盗まれたファイルの一部を公開したRansomHubは、その運用上のモットーを明確に しました。ドルにのみ興味があります。」
RansomHubの運用方法
RansomHubは、最近の前身と同様に、アフィリエイトが初期アクセスを取得し、できるだけ多くの機密データを盗み、その後、ランサムウェアのペイロードを解き放つという二重恐喝に依存しています。 被害者は、従業員と顧客のアクセスを回復するためにシステムをスクランブル解除するという二重の悪夢に対処するだけでなく、機密データの公開を阻止するために犯罪者にお金を払うという道徳的ジレンマにも対処することになります。
この恐喝方法は、医療侵害の場合、企業の顧客が支払いを強制されたり、個人の健康情報が公開されたりするため、さらに推し進められる可能性があります。
RansomHubの金銭的利益への特異な焦点にアフィリエイトが引き寄せられているため、決定的な要因は、その雇われランサムウェアが実際にどのように機能するかです。 RansomHubのソフトウェアは、暗号化の直前にデバイスをセーフモードで再起動することでデバイスのセキュリティ機能をシャットダウンするKnightの機能など、古いランサムウェア株のいくつかの機能を組み合わせています。
Snatchとプログラミング言語を共有していますが、構成可能なコマンドやコードの難読化が重いなど、いくつかの違いがあります。
ランサムウェアの保護と防止戦略
ランサムウェアの防止は、ほとんどの場合、適切なサイバーハイジーンに帰着するため、RansomHubアフィリエイトを寄せ付けないようにするための3つの戦略に焦点を当てましょう。
#1.多要素認証の使用
2021年にChange Healthcareを標的にしたランサムウェア攻撃では、フォレンジック後の調査により、問題のアフィリエイトが1人のユーザーのアカウントを介してアクセスを取得していたことが判明しました。パスワードは再利用され、ある時点で漏洩し、不正アクセスとデータ盗難の連鎖につながっていました。
Change Healthcareは 、米国の全顧客の医療支払いプロセスの40% を処理しており、影響を受けた顧客に個人データ盗難の通知を送信し始めたばかりであるため、財務的な影響は始まったばかりです。
この攻撃は、盗まれた認証情報を単純に使用する方がはるかに速く、簡単に済むことが多いことを完璧に表現しています。 インフォスティーラーは、サイバー犯罪市場でこのニッチをすでに埋めており、有効な資格情報をさらに迅速に入手できるようになっています。
盗まれた認証情報の悪用を防ぐことは、特に企業がすでにPing、Microsoft、Oktaなどの IDおよびアクセス管理 (IAM)ソリューションに依存している場合、インフラストラクチャ的に最も簡単なサイバーセキュリティの変更の1つです。
多要素認証(MFA) は、ユーザーが別の情報を介してログイン試行を確認することを要求し、アカウントハイジャッカーの攻撃経路を遮断します。
#2.ソフトウェアを定期的に更新する
しかし、RansomHubアフィリエイトが運営する方法は、盗まれたアクセス認証情報だけではありません:研究者は最近、RansomHubの犯罪者が、正規のリモートアクセスおよびネットワークスキャンツールを展開する前に、Microsoft ZeroLogonの欠陥を介してアクセスを取得していることを発見しました。
このプロセスが、彼らがクリスティーズのオークションハウスを攻撃することを可能にし、皮肉なことに、クリスティーズの個人データを最高入札者に競売にかけることにつながったのです。
定期的なパッチを実装し、すべてのソフトウェアを最新の状態に保つことで、埋め込まれた欠陥による悪意のあるアクセスを防ぐことができます。これを実現するには、公開されているすべてのソフトウェアの欠陥の深刻度を調査します。 これにより、最初にパッチを適用する必要があるものに優先順位を付けることができます。
さらに優れているのは自動更新で、チームが修正に取り掛かる前に悪用されるのを防ぎます。
#3.ネットワークのセグメント化
Patelco Credit Unionは、RansomHubの最も最近公開された被害者の1つであり、RansomHubの恐喝ポータルには、信用組合の経営陣が 顧客の「プライバシーをまったく気にしていない」ことが詳述されています。 エンドポイントを多用する攻撃を非常に多く、その後にPIIを多用するデータベースへの横方向の移動がMOであることを考えると、エンドポイントセグメンテーションはRansomHubを阻止する大きな可能性を秘めています。
ネットワークセグメンテーションを実装するには、ネットワークチームは、保護が必要な各タイプのデータと資産に合わせたセキュリティポリシーを策定することから始める必要があります。これらのポリシーでは、各リソース、それにアクセスするユーザーとシステム、および付与するアクセスのレベルを指定する必要があります。
許可リストのアクセス制御の実装
次のステップでは、ネットワークセキュリティを大幅に強化する許可リストアクセス制御を実装します。
これを効果的に行うには、チームは各アプリケーションのアプリケーションデータフローをマッピングする必要があります。 このプロセスには時間がかかる場合がありますが、サイバーセキュリティ侵害の潜在的なコストと比較すると、投資は正当化され、 ランサムウェアを削除しようとするよりもはるかに簡単です。
RansomHub Affiliates Away with チェック・ポイント セキュリティ
セキュリティ体制の修正に何百時間も費やすのではなく、チェック・ポイント Harmonyを使用して完全なランサムウェア保護に向けて大きな一歩を踏み出してください。
その多面的なアプローチは、電子メール、エンドポイント、ソフトウェア、データベースを、忠実度の高い一連の保護で保護します。 自然言語処理能力は、不正な電子メールが送信されたときに識別し、ジャストインタイムのファイル分析により悪意のあるダウンロードを防ぎます。
業界をリードするデータ漏洩防止により、脆弱性とパッチ管理を自動化し、データベースを保護します。 最後に、これらすべてを、読みやすいダッシュボードを介して、1つのガラスの後ろに置きます。 今すぐデモで RansomHub 防衛キャンペーンを始めましょう。
フィードバック