医療機関がTrinityランサムウェアの攻撃を受ける

医療分野は、 Trinityとして知られる新しいランサムウェアの亜種によるサイバー脅威の増大に直面している。米国保健福祉省 (HHS) は警告を発し、医療および公衆衛生の組織に迫りくる危険を警告した。

ランサムウェアの脅威の高まり

2024 年 5 月に初めて検出された Trinity は、比較的新しいランサムウェアです。ファイルを暗号化し、「.trinitylock」拡張子を追加します。HHS によると、2023Lock や Venus などの他のランサムウェア ファミリーと類似点があります。これらのグループは重要なインフラストラクチャを標的にすることが多く、Trinity も例外ではありません。

他のランサムウェアと同様に、Trinity は漏洩サイトを使用して被害者をリスト化し、ファイルの復号化について組織と交渉します。ランサムウェアのオペレーターは、システムをロックする前にデータを盗み出し、それを人質にしてさらなる恐喝を行います。

侵入すると、Trinity はフィッシング メール、脆弱なソフトウェア、悪意のある Web サイトを使用してアクセスを取得します。次に、ネットワーク偵察、システムのスキャン、および権限昇格のための横方向の移動を実行します。Trinity が使用する高度な戦術の 1 つは、正当なプロセスのトークンを偽装して、被害者のネットワーク内での範囲を拡大することです。

暗号化と恐喝の方法

完全なアクセス権を取得すると、Trinity は強力な暗号化アルゴリズムを使用してファイルを暗号化します。被害者が正しい復号化キーを持っていない限り、ファイルは使用できなくなります。影響を受ける各ファイルには、「.trinitylock」拡張子が付けられ、暗号化されたデータが明確に識別されます。

暗号化プロセスの後、被害者はテキストおよび .hta 形式の身代金要求メッセージと、攻撃を表示する変更されたデスクトップの壁紙を受け取ります。身代金要求メッセージには通常、攻撃者のサイトにアクセスするための onion URL と通信手順が含まれています。

他のランサムウェア ファミリーへのリンク

HHS は、Trinity が 2023Lock および Venus ランサムウェア ファミリーと驚くほど類似していると指摘しています。これらは ChaCha20 暗号化アルゴリズムを共有しており、身代金要求メッセージ、ミューテックス名、レジストリ値はほぼ同じです。これらの深い関連性は、Trinity が 2023Lock の直接の後継である可能性があることを示唆しており、進化する脅威となっています。

医療機関への影響

医療および公衆衛生部門は特に脆弱です。米国の医療組織 1 社がすでにこのグループの被害に遭っており、現時点で Trinity の漏洩サイトには 5 つの被害者がリストされています。この中には Rocky Mountain Gastroenterology も含まれており、攻撃者はこの組織から 330 GB のデータを盗んだと主張しています。

現在、Trinity ランサムウェア用の復号ツールは存在せず、被害者には選択肢がほとんどありません。データ復旧ツールを使用して部分的に成功した人もいますが、サイバーセキュリティの専門家による専門的な相談の必要性は高いです。

次の攻撃に備える

Trinity やその他のランサムウェア ファミリーが医療システムにもたらすリスクは明らかです。攻撃を防ぐために組織はどのような対策を講じるべきでしょうか? 現在の防御力は侵害に耐えられるほど十分でしょうか? 思慮深く積極的なセキュリティ対策が、被害者になるか安全を保つかの違いとなるかもしれません。