SOMPO CYBER SECURITY
脅威インテリジェンスサービスCognyteは、ダークウェブやTelegram、SNSなどから膨大な情報を収集し、情報漏洩や脅威アクターの活動を検知することによって、組織のサイバー・リスクを軽減させるサービスです。
Cognyte CTI Research Group@Cognyte | 2024年2月
2024年2月、ロシア語のダークウェブ・フォーラムXSSにおいてBeastランサムウェアの宣伝投稿が出現しました。
Cognyteは、このランサムウェアの直近の検体を入手しています。
本記事は、Beastランサムウェアの概要と脅威アクターの分析、そしてランサムウェア検体から入手したIoCを紹介します。
記事に関するご意見・お問い合わせはこちらへお寄せください。
(SOMPOホールディングス、損害保険ジャパンなどグループ各社へのお問い合わせはご遠慮下さい)
Beastランサムウェアはアフィリエイトと開発者とで利益を分配するRaaSであり、2022年に登場して以来、脅威アクターによって運用されています。
サンプルの特徴から、このランサムウェアは経験のあるサイバー犯罪者によって開発されたと推測します。
脅威アクターがフォーラムに投稿した宣伝によれば、Beastランサムウェアは以下の機能も保有しています。
今回Beastランサムウェアの宣伝を行った脅威アクターMNSTRは、2022年にMonsterランサムウェアを開発しています。MNSTRは過去に、BeastがMonsterの後継であるとの発言を残しています。
MonsterはDelphiで作成されたRaaSです。
Cognyteの調査結果から、脅威アクターMNSTRはロシアを拠点としており、英語による投稿を行うことでランサムウェアを宣伝しようとしていると考えられます。
Monsterランサムウェアは2022年にロシア語のダークウェブ・フォーラムRAMPに出現しました。コミュニティでの評価によれば、Monsterランサムウェアは非常に使いやすく、拡張子やランサム・ノートのカスタマイズも可能とのことです。
Monsterの解析は、当該ランサムウェアのIoCが他の脅威グループのIoCと重複するように作為されていることを示しています。これは、リサーチャーや法執行機関による脅威アクターの特定を妨害する意図があると推測されます。
別の解析では、Monsterがシンガポール、インドネシア、ボリビアを含む世界規模で検知されたことを明らかにしています。
Beastランサムウェアはセキュリティ情勢に対しまだ大きなインパクトを与えていませんが、(Cognyteが検体を入手できたことが示すとおり)攻撃被害は発生しています。今後運用が拡大し組織に対する脅威となる可能性があります。
Cognyteは、以下に示すIoCを組織のセキュリティシステムに反映させることを推奨します。
型式 | 値 |
MD5 | 7dd96ccc46eca19b03244159483e2230 |
SHA-1 | 93084bd618f0f70b2307dc0c365989ea9953a77e |
SHA-256 | f3b54714488c9ab16a53d63cfc058e090715a4be315ade2cc3ac8d89e46f46e2 |
記事に関するご意見・お問い合わせはこちらへお寄せください。
(SOMPOホールディングス、損害保険ジャパンなどグループ各社へのお問い合わせはご遠慮下さい)