Embargoランサムウェア、クラウド環境への攻撃を拡大

Embargoランサムウェア、クラウド環境への攻撃を拡大

BleepingComputer – September 27, 2024

マイクロソフトによると、ランサムウェア脅威アクター「Storm-0501」が先ごろ戦術を変え、ハイブリッドクラウド環境を標的にすることで、被害者の資産すべてを侵害する戦略を拡大させているという。Storm-0501は2021年にSabbathランサムウェアのアフィリエイトとして始動したアクターで、その後HiveやBlackCat、LockBitなどのランサムウェアを利用してきたが、直近ではEmbargoランサムウェアを展開している。最近の攻撃でターゲットとなったのは米国の病院や政府機関、製造業、輸送機関、法執行機関とのこと。

攻撃では、盗まれた認証情報や購入された認証情報を用いるか、既知の脆弱性を悪用することで標的のネットワークへの初期アクセスを取得。攻撃で使用された脆弱性にはCVE-2022-47966（Zoho ManageEngineにおけるリモートコード実行の脆弱性）、CVE-2023-4966（Citrix NetScalerにおける情報漏洩の脆弱性）があるほか、CVE-2023-29300またはCVE-2023-38203（Adobe ColdFusionにおけるリモートコード実行の脆弱性）が悪用された可能性もあるという。

初期アクセス獲得後、Storm-0501はImpacketやCobalt Strikeなどのフレームワークを使用して被害組織のオンプレミス環境からクラウド環境に水平移動し、機微なファイルを抽出した後、システム全体にEmbargoランサムウェアを展開する。しかし常にランサムウェアが配布されるわけではなく、ネットワークへのバックドアアクセスを維持するだけの場合もあるようだ。

Embargo脅威グループはRustベースのマルウェアを使用し、RaaS事業を展開しているグループ。このグループのアフィリエイトは企業を侵害してペイロードを展開し、Embargoと利益の一部を分け合う。

ランサムウェアレポート無料配布中！

以下のバナーより、ランサムウェアのトレンドを扱ったSilobreaker社のレポート『2024 Ransomware? What Ransomware?』の日本語訳バージョンを無料でダウンロードいただけます。

＜レポートの主なトピック＞

• 主なプレーヤーと被害組織
• データリークと被害者による身代金支払い
• ハクティビストからランサムウェアアクターへ
• 暗号化せずにデータを盗むアクターが増加
• 初期アクセス獲得に脆弱性を悪用する事例が増加
• 公に報告された情報、および被害者による情報開示のタイムライン
• ランサムウェアのリークサイト – ダークウェブ上での犯行声明
• 被害者による情報開示で使われる表現
• ランサムウェアに対する法的措置が世界中で増加
• サプライチェーン攻撃を防ぐため、手口の変化に関する情報を漏らさず把握
• 複数の情報源と脅威インテリジェンスツールを活用することが依然不可欠