マルチ商法を取り入れた新種のRaaS「Wing」に要注意：セキュリティニュースアラート

ダークWebフォーラム「RAMP」に新しいRaaS「Wing」が登場した。多機能かつ、"マルチ商法"を取り入れた高度なRaaSだという。

[後藤大地，有限会社オングス]

　セキュリティ企業のZeroFoxは2024年1月30日（現地時間）、ダークWebフォーラム「RAMP」に新種のRaaS（Ransomware as a Service）「Wing」が登場したと伝えた。

ダークWebフォーラム「RAMP」に新たなRaaS「Wing」が登場した（出典：ZeroFoxのWebサイト）

マルチ商法を取り入れた高機能なRaaS「Wing」に要注意

　Wingは2024年に初めてRAMPで開始され、脅威アクター「blackhunt」によって運営されている。Wingの特徴は以下の通りだ。

• 3つの暗号化モードとファイルごとに変化する暗号化アルゴリズム
• マルチスレッド機能
• 横方向の伝ぱ機能
• 永続化機能
• バックアップの破棄機能
• リカバリー対策機能

　Wingは効果的に展開でき、巧みに防御を回避するよう設計された新種のRaaSだ。アフィリエイターはコピーと身代金メモをカスタマイズできるのに加え、他のアフィリエイターを紹介して恐喝が成功した場合はその利益の10％を受け取れるという。

　この他、従来ランサムウェアグループはロシア語を話す工作員が多かった中、blackhuntは英語を話す脅威アクターという点も注目されている。これは2023年第4四半期から見られた傾向であり、2024年も同様の傾向が続いたことになる。

　ZeroFoxはWing対策として以下の事項を推奨している。

• 多要素認証（MFA）や複雑なパスワード、ユニークな認証情報、安全なパスワードポリシーを使用する
• 侵害されたアカウント資格情報の継続的な監視を実施する
• ディープWebやダークWebのフォーラムで侵害されたアカウントが仲介されていないかどうかをプロアクティブに監視する
• サイバー脅威インテリジェンスを活用し、「進化する戦術、技術、手順」（TTPs）やセキュリティ侵害インジケーターの検知に利用する
• 重要データや専有データ、機密データは少なくとも年に1回、できればそれ以上の頻度で常に安全なオフサイトサーバまたはクラウドサーバにバックアップする
• 最小特権の原則に基づくゼロトラストのサイバーセキュリティ体制を採用する
• ネットワークセグメンテーションを実装してリソースを分離する
• 包括的なインシデント対応戦略を策定する
• 悪意のあるインジケーターを含む電子メールをブロックするようにメールサーバを設定するとともに、なりすましメールを防ぐための認証プロトコルを展開する
• 包括的なパッチ管理システムを導入し、全てのビジネスIT資産を最新のソフトウェアへと迅速に更新する

　ZeroFoxは現状、Wingの展開状況を確認していないが、今後数週間のうちに被害者が出る可能性があるとして注意を呼び掛けている。