ScRansom ランサムウェアが中小企業を攻撃

ScRansom ランサムウェアは最も危険な感染の 1 つです。これは、CosmicBeetle として知られる脅威アクターによって開発されたカスタムビルドのランサムウェアです。ScRansom ランサムウェアは、ヨーロッパ、アジア、アフリカ、南米の中小企業 (SMB) に大混乱を引き起こしています。

ScRansom は、さまざまな業界の弱点を悪用しようとするサイバー犯罪者の手に渡った高度な武器として登場しました。ScRansom ランサムウェアは拡散し続けており、サイバーセキュリティの分野で大きな懸念を引き起こしています。ここでは、ScRansom とは何か、どのように動作するのか、そして何を達成しようとしているのかについて詳しく説明します。

ScRansom ランサムウェアを理解する

ScRansom は比較的新しい種類のランサムウェアで、以前 CosmicBeetle によって展開されたScarabと呼ばれる以前の亜種に代わるものです。この新しい亜種は、製造、医療、製薬、テクノロジー、さらには地方自治体など、さまざまな分野の企業に侵入し、標的にしています。別名NONAMEとしても知られる CosmicBeetle は、特に悪意のあるペイロードを配信する Spacecolon ツールセットを通じて、サイバー犯罪の世界で注目すべき存在としての地位を確立しています。

ScRansom は市場で最も洗練されたランサムウェアではありませんが、継続的に更新され、改良されています。サイバーセキュリティ研究者によると、CosmicBeetle は、特に他のランサムウェア グループのツールを採用し、攻撃ベクトルを強化することで、ランサムウェアの有効性を向上させています。開発段階にあるにもかかわらず、ScRansom は興味深く価値のあるターゲットを侵害しています。

ランサムウェアプログラムが行うこと

ScRansom のようなランサムウェア プログラムは、システムを感染させ、ファイルを暗号化し、復号キーと引き換えに被害者に身代金を要求するように設計されています。多くの場合、フィッシング攻撃、ブルート フォース パスワード クラッキング、または既知のシステム脆弱性の悪用によって展開されます。ランサムウェアがネットワーク内に侵入すると、急速に拡散し、重要なデータやファイルを暗号化して、企業の効率的な業務運営を不可能にします。

これらのプログラムの目的は単純で、被害者から金銭をゆすり取ることです。ScRansom の場合、攻撃者はファイルを暗号化した後、アクセスを回復するために身代金を要求します。被害者が支払いを拒否すると、ScRansom にはランダムなデータでファイルを上書きして回復不能にする「ERASE」モードがあるため、永久的なデータ損失のリスクに直面することがよくあります。これにより、身代金を支払った後にのみアクセスできる暗号化キーなしで被害者がデータを回復することは非常に困難になります。

ScRansom の目的

ScRansom の主な目的は、ほとんどのランサムウェアと同様、金銭的利益を得ることです。CosmicBeetle は、復号キーと引き換えに身代金を要求することで脆弱なシステムを利用することを目指しています。しかし、ScRansom の作成者はさらに一歩進んで、他の有名なランサムウェア グループの評判を利用して被害者に支払いを迫ろうとしています。

注目すべき戦術の 1 つは、LockBit などの悪名高いランサムウェア グループから CosmicBeetle のツールとテクニックを借用することです。場合によっては、CosmicBeetle は、これらのより有名なグループが攻撃を実行したかのように見せかけようとします。こうすることで、被害者が、より危険でよく知られている攻撃者と対峙しているのではないかと恐れ、すぐに身代金を支払う可能性を高めようとします。

ScRansom の戦略のもう 1 つの注目すべき点は、別のランサムウェア グループである RansomHub との関連性がある可能性があることです。証拠によると、ScRansom と RansomHub のペイロードは短期間で同じターゲット システムに展開されており、2 つのグループ間である程度の連携や技術の共有が行われていたことが示唆されています。

ScRansom がシステムに侵入する方法

CosmicBeetle は、ブルートフォース攻撃や既知の脆弱性の悪用など、さまざまな攻撃方法を利用して ScRansom を配信します。これらの脆弱性の多くは公開され、修正されていますが、サイバー犯罪者は、十分に保護されていないシステムに侵入するために、依然としてこれらの脆弱性を積極的に利用しています。ScRansom によって最も頻繁に悪用される脆弱性には、CVE-2017-0144、CVE-2020-1472、CVE-2021-42278、CVE-2021-42287、CVE-2022-42475、CVE-2023-27532 などがあります。

システムに侵入すると、ランサムウェアは Reaper、Darkside、RealBlindingEDR などの複数のツールを使用してセキュリティ対策を無効にし、検出を回避します。ScRansom はセキュリティ プロセスを終了する機能を備えているため、組織がシステムを保護するために採用している多くの防御策を回避できるため、特に危険です。

ScRansom の脅威の増大

ScRansom の台頭は、サイバー脅迫のツールとしてのランサムウェアの継続的な進化を浮き彫りにしています。攻撃者は絶えず新しい種類を開発し、既存の種類を改良しているため、あらゆる規模の企業は警戒を怠ってはなりません。特に中小企業は、サイバーセキュリティのリソースと防御が限られていることが多いため、主な標的となっています。

CosmicBeetle が ScRansom を頻繁に更新していることは、ランサムウェアの有効性を向上させるという彼らの取り組みの表れです。同グループは、より大規模で悪名高いランサムウェア攻撃の成功を模倣しようと、LockBit のビルダーなどのツールを使用して機能を強化する実験も行っています。この継続的な改良は、ScRansom が近い将来さらに恐ろしい脅威になる可能性があることを示唆しています。

ScRansomやその他のランサムウェアからの保護

ScRansom のようなランサムウェアから保護するには、企業はネットワークを保護するための積極的な対策を講じる必要があります。既知の脆弱性を定期的に修正し、強力なパスワード ポリシーを実装し、従業員にフィッシングのリスクを認識させることが重要です。さらに、エンドポイント検出および対応 (EDR) ツールなどの高度なセキュリティ ソリューションは、ランサムウェアが重大な被害を引き起こす前に検出してブロックするのに役立ちます。

ランサムウェアが進化するにつれ、企業はますます巧妙化する脅威を回避するためにサイバーセキュリティ防御を適応させ、強化する必要があります。ScRansom はまだ最も高度なランサムウェアではないかもしれませんが、その成長の可能性と CosmicBeetle の持続性を過小評価すべきではありません。