ランサムウェアグループに潜入、その実態は Group-IBが調査結果を報告

Group-IBの脅威インテリジェンスチームは、RaaSを提供するランサムウェアグループQilinの内部に潜入してその活動を調査した。ランサムウェアグループを調査して分かった推奨すべき防御策とは。

[後藤大地，有限会社オングス]

　セキュリティ企業のGroup-IBは2023年5月15日（現地時間）、サイバー犯罪グループ「Qilin」（キリン）（別名: Agenda ransomware）に関する詳細な情報を公開した。Group-IBの脅威インテリジェンスチームがQilinの内部潜入してその活動を調査したとしている。

　Qilinは2022年8月に発見されたサイバー犯罪グループで、RustやGoなどのプログラミング言語で開発されたランサムウェアを利用したサイバー攻撃を「Ransomeware as a Service」（RaaS）形式で展開している。

Group-IBはQilin内部に潜入してその活動を調査した（出典：Group-IBのWebサイト）

Group-IBが暴露するQilinのランサムウェア攻撃の詳細と防御策

　Qilinのランサムウェア攻撃は被害を最大化するためにターゲットごとにカスタマイズされている点が特徴的だ。また、プログラミング言語にRustが採用されている背景としては、マルウェアを「Windows」や「Linux」といった複数のOSに簡単にカスタマイズできるためランサムウェア攻撃において効果が高いからだという。

　Group-IBの脅威インテリジェンスチームは2023年3月にQilinに潜入し、内部情報を明らかにした。報告されている主な内容は以下の通りだ。

• Qilinのターゲットは重要なセクターの企業
• 2022年7月から2023年5月の間に12人の被害者が出た。内訳としてはオーストラリアやブラジル、コロンビア、フランス、オランダ、セルビア、英国、日本で1人ずつ、カナダと米国で2人ずつの被害が発生した。
• Qilinが提供するRaaSは管理パネルを採用している。この管理パネルは「ターゲット」や「ブログ」「スタッフ」「ニュース」「支払い」「FAQ」などのセクションに分かれている。これを利用することでサイバー攻撃者は効果的に攻撃を実行できる
• Group-IBの脅威インテリジェンスチームは地下フォーラムにおけるQilinの勧誘投稿を特定した

　Group-IBはQilinの標的とならないため、もしくは標的となった場合の行動として以下をアドバイスとして挙げている。

• 多要素認証（MFA）やクレデンシャルベースのアクセスソリューションを活用するなど、セキュリティの層を増やして企業資産とユーザーを保護する
• データのバックアップはランサムウェア攻撃後のデータ損失を回避しビジネス損害軽減に役立つことから、バックアップ戦略を持ち定期的に実施する
• Qilinは攻撃ベクトルとしてスピアフィッシングに依存していることから、これに対抗できるセキュリティソリューションを導入する
• ウイルス検索エンジンで検出しにくいマルウェアも検出できるようにAI（人工知能）を取り込んだ高度な分析機能を備えたソリューションを導入する
• 持続的標的型攻撃（APT）グループやその他の脅威グループ独自の戦術や技術、手順（TTPs）を可視化してセキュリティ戦略の転換を可能にする
• 自動化された脅威検出と対応機能を導入して多層的なサイバーセキュリティを実現する
• 定期的にパッチを確認し、利用可能になったパッチを適用するプロセスを確立して運用する
• 組織のネットワークや資産、デバイス、インフラに関するリスクについて従業員の教育を行う。従業員がサイバー犯罪の兆候を識別して報告できるように教育を実施する
• 毎年技術監査やセキュリティ評価を実施してインフラを調査する。インフラストラクチャの完全性とデジタルハイジーンプロセスは繰り返し確認する必要がある
• 身代金は支払わない

　Group-IBは2022年/2023年のハイテク犯罪の傾向についてまとめた報告書「Hi-Tech Crime Trends 2022/2023」において、ランサムウェア攻撃の影響が2023年以降も拡大し続けていることを指摘している。