EDR製品を無効化するランサムウェア攻撃を確認 RansomHubの最新手口：セキュリティニュースアラート

MalwarebytesのThreatDownチームは、ランサムウェアグループ「RansomHub」による新たなランサムウェア攻撃手法を特定した。この攻撃では正規のツールを悪用し、EDR製品を無効化したり資格情報を窃取したりすることが確認されている。

[後藤大地，有限会社オングス]

　Malwarebytesの「ThreatDown」チームは2024年9月9日（現地時間）、ランサムウェアグループ「RansomHub」による新たな攻撃手法を特定したと伝えた。EDR（Endpoint Detection and Response）製品を無効化する「TDSSKiller」と、資格情報を窃取する「LaZagne」という2つのツールを使用することが明らかになっている。

EDRキラーと資格情報窃取ツール、RansomHubの攻撃戦術

　TDSSKillerはもともとKasperskyによって開発された正規のルートキット削除ツールだ。RansomHubはこれを悪用し、EDR機能を無効化した。

　また、LaZagneはWebブラウザやメールクライアント、データベースなどから認証情報を窃取してネットワークの横方向移動を支援するツールだ。攻撃ではLaZagne使用時に60回のファイル書き込みと1回のファイル削除を実行したことが確認されている。書き込みは抽出された資格情報のログである可能性が高いとされ、削除は資格情報収集操作の痕跡（こんせき）を隠すために実行された可能性が高いとみられている。

　ThreatDownはRansomHubがTDSSKillerやLaZagneを組み合わせて使用したのは初めてのケースだとしている。この攻撃手法は米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁（CISA）によるRansomHubに関する勧告に記載はなかったという。

　ThreatDownはこの攻撃に対する緩和策として以下を紹介している。

• BYOVD（Bring Your Own Vulnerable Driver）攻撃を防ぐため、TDSSKillerなどのツールが不正に使用されることを監視して制限するためのコントロールを実装する。既知の悪用パターンを隔離またはブロックすることでBYOVD攻撃を防げる
• ネットワークセグメンテーションを実施し、攻撃者がネットワーク内を自由に移動できないようにする。重要なシステムを分離することで攻撃者に資格情報が窃取されたとしても、ネットワーク全体に広がることを防げる

　RansomHubによる新たな攻撃手法の発見は、今後のランサムウェア対策における貴重な情報となっている。組織は新たなランサムウェア攻撃から身を守るためにセキュリティ対策を強化することが望まれる。