いたずら好きなリューク：「デスノート」にインスパイアされたランサムウェアとの戦い

ハッキングやランサムウェア攻撃によって盗まれた暗号通貨は依然として世界中の主要な取引所で現金化されているため、2023年にはまだ暗号「ワイルドウェスト」の要素があります。ランサムウェア攻撃は、過去数年間、サイバー犯罪者にとって儲かる現金であることが証明されており、米国連邦捜査局は、2013年10月から2023年11月の間に1億4400万ドル以上のビットコインが盗まれたと推定しています。.

2月にFBIが開催した記者会見では、感染したシステムやデータへのアクセスを取り戻すために必死になっていた被害者が、攻撃者に身代金として巨額を支払ったことが明らかになりました。興味深いことに、攻撃者はビットコイン（BTC）で身代金の大部分を受け取りました。最近、研究者は63のランサムウェア関連のトランザクションのサンプルを取り、盗まれた資金の約570万ドルを占め、さまざまなウォレットアドレスでの一連のトランザクションの後に100万ドル以上のビットコインがBinanceでキャッシュアウトされたことを発見しました.

さまざまなハッカーやサイバー犯罪グループによって使用されている悪名高いランサムウェアのバリエーションがいくつかあります。サイバーセキュリティ会社Kaspersky 強調表示 7月に大規模な組織を標的としたこれらのタイプの攻撃の増加は、VHDとHakunaMATAという2つの特定のマルウェアの脅威の概要を示しています。.

これらの特定の脅威は、Ryukランサムウェアなどのより大きなマルウェアの脅威を使用して盗まれた暗号通貨の量と比較すると、一見淡いように見えます。だから、リュークが攻撃の好ましい方法である理由と、攻撃者が主要な取引所プラットフォームで得られなかった利益を現金化するのを防ぎ、阻止するために何ができるかがここにあります.

城門のトロイの木馬：リューク

Kasperskyの7月のレポートで言及されているこれらの新しい攻撃ベクトルは、Ryukランサムウェアと同じ評判を獲得していません。 2023年の終わりに向けて、カスペルスキーは別の 報告する これは、ランサムウェア攻撃の餌食となった自治体や都市の窮状を浮き彫りにしました。 Ryukは、2023年に政府および地方自治体のシステムが主要な標的となり、大規模な組織に対する攻撃の好まれる手段として同社によって特定されました。.

Ryukは2023年の後半に最初に登場し、世界中のコンピューターネットワークやシステムに広がるにつれて大混乱をもたらしました。マンガシリーズ「デスノート」の人気キャラクターリュークにちなんで名付けられたこのマルウェアは、人間の領域に「デスノート」を配信することで自分自身を楽しませ、ノートのファインダーが簡単に誰でも殺すことができる「死の王」を巧妙に取り入れたものです。彼らの名前と外見を知っている.

マルウェアは通常、攻撃者が最初にネットワークを調査できるようにする2段階のアプローチで配信されます。これは通常、ユーザーが無意識のうちにダウンロードする可能性のあるドキュメントを含む電子メールを受信する多数のマシンから始まります。添付ファイルには、ファイルがダウンロードされるとアクティブになるEmotetトロイの木馬マルウェアボットが含まれています.

攻撃の第2段階では、Emotetボットがサーバーと通信して、Trickbotと呼ばれる別のマルウェアをインストールします。これは、攻撃者がネットワークの調査を実行できるようにするソフトウェアです。.

攻撃者がことわざのハニーポット（つまり、大企業、政府、または地方自治体のネットワーク）にぶつかった場合、Ryukランサムウェア自体がネットワークのさまざまなノードに展開されます。これは、実際にシステムファイルを暗号化し、身代金のためにそのデータを保持するベクトルです。 Ryukは、個々のコンピューター上のローカルファイルとネットワーク全体で共有されるファイルを暗号化します.

さらに、Kasperskyは、Ryukには、ネットワーク上の他のコンピューターがスリープモードの場合にスイッチをオンにする機能もあると説明しました。これにより、マルウェアが多数のノードに伝播します。スリープ状態のネットワーク上のコンピューターにあるファイルは通常アクセスできませんが、RyukマルウェアがそれらのPCをウェイクアップできる場合は、それらのコンピューター上のファイルも暗号化されます。.

ハッカーが政府や地方自治体のコンピュータネットワークを攻撃しようとする主な理由は2つあります。1つは、これらのシステムの多くが保険で保護されているため、金銭的な和解に達する可能性がはるかに高くなります。第2に、これらの大規模なネットワークは本質的に他の大規模なネットワークと結びついており、広範囲にわたる壊滅的な影響をもたらす可能性があります。完全に異なる部門に電力を供給するシステムとデータが影響を受ける可能性があり、迅速な解決策が必要になり、多くの場合、攻撃者に支払いが発生します。.

主要取引所でのキャッシュアウトとの戦い

これらのランサムウェア攻撃の最終目標は非常に単純です。通常、暗号通貨を使用して行われる多額の支払いを要求することです。ビットコインは、攻撃者に好まれる支払いオプションです。ビットコインブロックチェーンの透明性は、これらのトランザクションをミクロレベルとマクロレベルの両方で追跡できることを意味するため、優先的な支払い方法として卓越した暗号通貨を使用すると、攻撃者に意図しない結果が生じます.

関連： 暗号を要求するランサムウェア攻撃は残念ながらここにとどまります

それはまさに研究者が行っていることであり、これらのトランザクションのエンドポイントを調べることにより、アナリストは攻撃者が最大の暗号通貨交換のいくつかを利用しているのを見ることができます。 8月末に、100万ドル以上の身代金を支払ったビットコインがBinanceを通じてキャッシュアウトされたことが明らかになりました。.

Binanceのセキュリティチームは、これらの取引が18か月以上経過しており、取引所が関連するアカウントを積極的に監視していることをCointelegraphに明らかにしました。チームはまた、攻撃者による交換の使用が、プラットフォーム上で取引される膨大な量の暗号通貨の副産物であると強調しました。これにより、違法なアクターが群衆に溶け込む機会が増えます。広報担当者は次のように付け加えました。

「これは、Binanceがそのプラットフォーム上でさまざまな顧客を操作しているという事実によってさらに複雑になります。一部の顧客は単純なピアツーピア取引を通じてそのような資金を受け取り、他の顧客は流動性のために当社のプラットフォームを活用する企業サービスを通じて受け取ります。」

Cointelegraphは、イスラエルに本拠を置くサイバーセキュリティ会社Cymulateに連絡を取り、サイバー犯罪者がプラットフォームを使用して盗まれた暗号通貨を清算するのを防ぐために取引所ができることを学びました。同社の共同創設者兼最高技術責任者であるAvihaiBen-Yossefは、ウイルス対策保護とエンドポイントの検出と応答を提供する企業は、支払われた金額とそれぞれのウォレットを知っていることを考えると、身代金を要求された暗号を追跡する上で重要な役割を果たすと主張しています身代金を受け取っているアドレス。彼は、そこから、取引所はこれらの支払いを追跡および追跡できると付け加えました。

「アナリストはウォレット番号を収集し、各ウォレットにいくらのお金があるかを確認してから、見つかったすべてのウォレットの合計を作成できます。常にもっと多くのものがあり、作成されたRyukペイロードからそれぞれを追跡できる必要があることに注意することが重要です。」

これが時間のかかるプロセスになることは間違いありません。それにもかかわらず、攻撃者がウォレットアドレスを使用して身代金を受け取ることで、セキュリティチームはそれらの資金の動きを監視することができます。.

全体として、2023年は、絶えず進化しているランサムウェア攻撃を利用したサイバー犯罪者にとって有益な年でした。 Ben-Yossefは、絶えず変化するサイバー犯罪環境と戦うための最高のサイバーセキュリティを確保するように組織や企業に警告しました。

「一般的なランサムウェア攻撃はますます巧妙になっています。これには、横方向の移動、データの漏えいなど、身代金を支払わない企業に深刻な結果をもたらす多くの方法が含まれます。 RYUKの後継であるContiがあります。これは少し異なって書かれており、おそらく他のハッカーによって開発されたものです。組織にとって、侵害や攻撃のシミュレーションなどのセキュリティテストツールを適応させて、セキュリティ制御が新たな脅威に対して最適な効果を発揮していることを確認することが重要になっています。」