Clop(Cl0p)ランサムウェアが急増したことを先日お伝えしましたが、マイクロソフトの脅威インテリジェンスチームはサイバー犯罪グループのSangria TempestがClopランサムウェアを展開していることを確認したと最近、ツイッターで明らかにしました。
「以前はREvilとMazeを展開していた」
マイクロソフトの言うサイバー犯罪グループのSangria Tempestとは、マンディアントの言うFin7と同じサイバー犯罪グループとみられています。ちなみにマンディアントは金銭目的でサイバー攻撃を行っているグループをFinとして分類しているということです。一方、マイクロソフトは攻撃者グループの分類を気象に紐づけて行っているようで、Tempestは大嵐という意味ですが、財務上の動機で攻撃をしているグループをTempestと分類しているようです。いずれにしてもClopランサムウェアの背景にFin7=Sangria Tempestがあるということが言えそうです。
マイクロソフトの脅威インテリジェンスチームによると、Fin7=Sangria TempestはPowerShellスクリプトPOWERTRASHを使用して、Lizarポストエクスプロイトツールをロードし、ターゲットネットワークへの足場を確保し、その後、OpenSSHとImpacketを使用して横方向に移動し、Clopランサムウェアを展開するということです。また、このグループは、以前はRevilとMazeを展開し、DarkSideとBlackMatterのランサムウェアのオペレーションを管理していた、ということです。
Clopランサムウェアはサイバーセキュリティの専門家からTA505との関係が指摘されてきました。TA505のTAとはThreat Actorの略で、プルーフポイントのサイバー攻撃グループの分類にもとづいているようです。TA505は、マンディアントの分類ではFin11になるようです。つまりClopランサムウェアは、マンディアントの表記を使えば、Fin11との関係が指摘されているランサムウェアですが、マイクロソフトの脅威インテリジェンスチームによりFin7がClopランサムウェアを展開していることが確認されたということです。
Conti、Darkside、BlackMatter、BlackBastaとの関係も
Fin7は、アメリカの小売り、レストラン、ホスピタリティ業界などを標的に2013年から活動を続けている金銭目的の脅威グループで、もともと企業の財務データやPOSシステムへの攻撃を手がけていたグループですが、2020年以降はランサムウェアによる攻撃へと手法を変化させ、REvil、DarkSide、BlackMatter、Alphvなどのランサムウェアとの関係が指摘されてきました。
SentinelLabsは昨年11月のブログで、Black Bastaランサムウェアのツールや技術からBlack Bastaランサムウェアの活動にFin7が関係している可能性が高いとの指摘をしていますが、その中でFin7について「POSマルウェアを使用して金融詐欺を行っていました。しかし、2020年以降、ランサムウェア活動に切り替え、REvil、Contiと提携し、最初はDarksideとして、後にBlackMatterとしてブランド名を変更した」と説明しています。
REvilは2021年11月に米当局が、2022年1月にはロシア当局がメンバーを逮捕して解散、Darksideは2021年5月にアメリカのコロニアル・パイプラインを攻撃した後、活動を停止、Contiは2022年2月にロシアによるウクライナへの軍事侵攻を契機に2022年5月に活動が停止されたとの見方がされていますが、実際には形を変えて活動が継続されているともみられています。
マイクロソフトの脅威インテリジェンスチームのツイッター投稿は、休止していたとみられるFin7が活動を再開したことを伝え、そのツールとしてClopランサムウェアが使われたということです。Fin11との関係が指摘されてきたClopランサムウェアをFin7がどのような経緯で使うことになったのか定かではありませんが、ランサムウェアを展開しているロシアを拠点とするサイバー犯罪グループにかかわる問題であり、その動向が注視されます。
■出典・参考
https://twitter.com/MsftSecIntel/status/1659347799442432002
https://www.curatedintel.org/2022/05/threat-group-naming-schemes-in-cyber.html
https://duo.com/decipher/ukrainian-police-arrest-suspected-cl0p-ransomware-operators
https://gblogs.cisco.com/jp/2021/08/talos-raccoon-and-amadey-install-servhelper/