Hunters Internationalというグループにあなたのデータが狙われている
2024年7月29日、Christine Barry
Hunters International (Hunters) は、名前がその実態を表す犯罪グループの 1 つです。このグループはあなたのデータを狙っており、国際的に活動しています。この記事の執筆時点で、このグループは29 か国で被害者を攻撃することに成功していますが、これは確認された被害者のみを数えたものです。いくつかの業界調査では、報告されていないランサムウェア攻撃の数は 60% から 80% の間であることがわかっているため、おそらくその数は私たちが知っているよりも高いと考えられます。
ランサムウェア グループが複数の国の企業を標的にするのは珍しいことではありませんが、このグループは意図的に国際的な活動を展開している点で興味深いです。このグループはランサムウェア アズ ア サービス (RaaS) の運営者であり、多くの RaaS 運営者は複数の国に関連会社を持っています。ハンターの「本拠地」は東ヨーロッパとロシアのどこかにあると考えられていますが、グループのインフラと活動はアジア、南アフリカ、および世界の他の地域にまでさかのぼります。この地理的に分散した拠点により、法執行機関が活動を阻止することがより困難になりますが、活動を調整することも困難になります。タイム ゾーン、運用上のセキュリティ、攻撃の一貫性はすべて、これによって影響を受ける可能性があります。
起源について
Hunters International は 2023 年 10 月に確認され、当初は Hive ランサムウェアのブランド変更であると考えられていました。Hive は 2023 年 1 月に法執行機関によって解体され、その名前で再び現れることはありませんでした。Hunters International が出現したとき、研究者はそのコードの 60% が Hive と重複していることを発見しました。これがブランド変更に関する噂の始まりとなり、Hunters はすぐにこれを阻止しました。
独立した「スタートアップ RaaS」として、Hunters は Hive コードとインフラストラクチャを購入し、アフィリエイトの募集とターゲットへの攻撃を開始するための実用的なシステムを立ち上げることができました。Hunters は、以下を含む多くの改良を Hive コードに加えました。
- Hive の元の暗号化ロジックにおける「ファイルの復号化を妨げることがあるいくつかの問題」を修正しました。
- コマンドラインパラメータを削減し、暗号化キーの保存プロセスを合理化しました。
- 以前の Hive バージョンでは C と Golang で記述されていたコードを Rust で再構築しました。
- ファイル拡張子のカスタマイズ、ボリューム シャドウ コピーの削除、暗号化の最小ファイル サイズの指定のオプションを作成しました。
- 暗号化の種類をChaCha20-Poly1305からAESとRSA暗号の組み合わせに変更しました
Hunters International のユニークな特徴の 1 つは、データの流出が最優先事項であることです。これは、盗んだデータを二次的な手段として利用する Hive やその他の多くのランサムウェア グループとは一線を画しています。Hunters のこの動きは、Hive の復号化コードが壊れていることが原因かもしれませんが、Hunters がデータはお金であることを理解している可能性も同じくらいあります。データを保護するためにお金を払うか、Hunters が収益化できる製品を持っているかのどちらかです。Hive コードの変更の多くは、この新しい優先事項をサポートするために行われました。
Hunters の開発者は他にもいくつかの改良を加えているが、 研究者は引き続きコードに欠陥を発見している。このグループはビジネスを真剣に受け止めている、より「プロフェッショナル」な組織グループの 1 つであると思われるため、コードは今後も更新と改良が続けられるだろう。
プロフェッショナルといえば…
Hunters International は、リークサイトのためにユーザーインターフェイスデザイナーを雇ったようです。Malware Hunter Team は、 2023 年 11 月に次のスクリーンショットを投稿しました。
被害者を消費者として考えれば (あまり気持ちの良い表現ではありませんが)、取引を進める中で、サイトデザインがより安心感を与えるかもしれません。明らかに使いやすく、威圧感を与えないように意図されています。身代金サイトが美しいEコマースサイトのように見える場合、身代金を支払う際の心理的・技術的な摩擦はそれほど大きくないでしょう。
デザインに配慮がされているのは、潜在的なアフィリエイトに好印象を与え、洗練された印象を与えるためである可能性もあります。
ハンターの攻撃の仕組み
感染チェーンは通常、フィッシングメール、侵害された RPD サービス、サプライチェーン攻撃、ソーシャルエンジニアリング、脆弱な公開アプリケーションなどの初期アクセスベクトルから始まります。悪意のあるペイロードが実行されると、ランサムウェアはファイルを暗号化し、暗号通貨での支払いを要求する身代金要求メッセージを表示します。このグループが一般的に使用する初期アクセスベクトルには、公開アプリケーションの脆弱性を悪用することや、盗んだ RDP サービスの資格情報を使用することが含まれます。
初期アクセスを獲得した後、Hunters International は、活動を容易にするために合法的なツールを使用します。これらのツールには、ネットワーク管理ソフトウェア、侵入テスト フレームワーク、検出を回避するように設計されたカスタム スクリプトが含まれます。このグループは、他の著名なランサムウェア グループと提携関係にあり、戦術、ツール、場合によっては人員を交換していると考えられています。
ハンターの家系図
Hunters については、Hive とは何の関係もない独立したグループであると主張している以外、あまり言うことはありません。それでは、Hive について調べて、それがどこにつながるかを見てみましょう。
Hive は 2021 年 6 月に初めて観測され、同年 12 月にいくつかの注目度の高い攻撃を実行しました。法執行機関は 2022 年 1 月に Hive への注目を強めましたが、Hive が解体されるまでにはさらに 1 年かかりました。活動期間中、Hive は世界中の 1,300 社以上の企業を標的とし、およそ 1 億ドルの身代金を徴収しました。
Hive には他のランサムウェア グループとの類似点がいくつかあります。
TTP | Hive | Conti | REvil | DarkSide |
初期アクセス | フィッシング、VPN | フィッシング、RDP | フィッシング、エクスプロイト | フィッシング、RDP |
ラテラルムーブメント | コバルトストライク | コバルトストライク | コバルトストライク | コバルトストライク |
持続性 | カスタムスクリプト | カスタムスクリプト | カスタムツール | カスタムスクリプト |
データの流出 | 二重の恐喝 | 二重の恐喝 | 二重の恐喝 | 二重の恐喝 |
身代金要求 | 変動、高 | 変動、高 | 変動、高 | 変動、高 |
類似点から、Hive は別のグループのブランド変更または継続であると考えられますが、それはすべて推測にすぎません。
HunterはHiveのリソースを購入したので、HunterとHiveの間に類似点が見られるのは当然です。しかし、HunterとMedusaはどうでしょうか?
Medusa は 2021 年初頭に発見され、多くの注目を集める攻撃を成功させ、非常に活発な 1 年を過ごしました。2022 年後半には活動が衰え、12 月にはグループが解散したとの憶測が飛び交いました。Medusa と Hunters の類似点は次のとおりです。
- 主要言語: 両グループとも、コミュニケーションには主にロシア語と英語を使用します。
- 初期アクセス方法: どちらも、初期アクセスを取得するためにフィッシングと RDP エクスプロイトを利用します。
- データの窃盗: どちらも二重の恐喝戦術を採用していますが、Medusa は窃盗したデータをより積極的に公開する傾向があります。
- 通信システム: どちらも暗号化されたメッセージング サービスとダーク ウェブ フォーラムを使用します。
- 対象業界: どちらも、医療、金融、教育などの価値の高い分野をターゲットにしています。
- グローバル展開: 両社とも、世界規模で広範囲にわたる事業を展開しています。
- 戦術の進化: どちらも継続的に戦術を改良していますが、一般的にMedusaの方がより攻撃的です。
- 公開: どちらも身代金要求を公表し、被害者に恥をかかせますが、Medusaはより攻撃的な戦術を採用しています。
Hunters と Medusa には大きな類似点があります。これは、Hunters が元 Medusa メンバーで構成されているという意味ではありませんが、グループ間でコードや戦術を共有するのは簡単であることは明らかです。両者の違いを見分けるのが難しい場合もあります。
ビジネスを守るために
米国サイバーセキュリティ・インフラストラクチャセキュリティ庁 (CISA) の Stop Ransomware Web サイトは、ランサムウェア攻撃の防止に 役立ちます 。緊急時の通信、悪い習慣、 ランサムウェア攻撃への適切な対応に関する情報については、このサイトを確認してください。また、定期的なデータ バックアップやタイムリーなパッチ管理など、標準的なベスト プラクティスに従っていることを確認してください。Barracuda は、 完全なランサムウェア保護 と業界で最も包括的な サイバーセキュリティ プラットフォームを提供しています。 当社の Web サイトにアクセスして 、電子メール、ネットワーク、アプリケーション、データをどのように防御しているかをご覧ください。