ロイヤルランサムウェア

Royal Ransomwareは、2022年初頭に初めて確認された、高度に洗練され、急速に進化するマルウェア株です。2022年、Royalは、大物狙いの不正侵入により、その年最も多発した脅威的なランサムウェア・キャンペーンにランクインしました。2022年11月だけで、Royalを運営するランサムウェア・ギャングであるDev-0569は新たに43人の被害者を増やし、1回の侵害につき25万ドルから200万ドルを要求しました。Dev-0569の企業被害者には、英国で最も人気のあるレーシング・サーキットであるシルバーストーン・サーキット、テキサス州の政府機関であるトラヴィス・セントラル・アプリエーション・ディストリクト、6,000万ドルの身代金要求を受けた無名の大手テレコム（当社 ）などが含まれている。 

Dev-0569は、主に大企業の被害者を恐喝することで金銭的利益を得ようとするエリート脅威行為者の私的グループです。Royalの攻撃パターンを分析したところ、他のランサムウェアギャングの頂点であるContiやRyukと比較され、Royalのオペレーターが他のサイバー犯罪のオペレーションから分裂していることがわかりました。Dev-0569は、Royalをランサムウェア・アズ・ア・サービス（RaaS）として販売するのではなく、地下のInitial Access Brokers（IAB）から企業ネットワークへの直接アクセスを購入し、攻撃キャンペーンを内部で管理しています。また、Dev-0569 は、感染したファイルの復号化に対する身代金要求に加えて、盗んだデータを公開すると脅した後に削除するよう被害者に迫るという、二重の恐喝戦術を頻繁に用いています。 

Royalランサムウェアの運営者は、IABと結託して初期アクセスを獲得しているため、Royalの攻撃は、よく知られたさまざまな第一段階の手口やペイロードから始まる可能性があります。Royalの攻撃には、悪意のあるリンクを広めるために企業ウェブサイトのコンタクトフォームを悪用すること、本物そっくりのダウンロードサイトでホストされたトロイの木馬化されたマルウェアファイルで被害者を誘うこと、Google広告を使用した不正広告などが含まれています。 

Royalの攻撃で使用されるもう1つの特徴的なテクニックは、偽のソフトウェア試用期限切れアラートを使用して被害者を脅し、脅威アクターが運営する顧客サービスの電話番号に電話をかけさせ、被害者を騙してマルウェアを直接インストールさせるというものです。企業の問い合わせフォームを利用することで、攻撃者は基本的なスパムフィルタを回避することができます。なぜなら、ウェブサイトの問い合わせフォームのメッセージは通常、企業の電子メールアドレス経由で送信されるため、スパムフィルタからは信頼できるように見えるからです。 

ロイヤル・ランサムウェアの運営者は、いったん標的のネットワークに足がかりを得ると、以下のような高度な悪用戦術やテクニックを幅広く駆使する：

• コマンド・アンド・コントロール（C2）用のペン・テスト・ツールキットCobalt Strikeを被害者のシステムにインストールする。
• オープンソースツールNsudo、PowerShellスクリプト(.ps1)、バッチスクリプト(.bat)を導入し、エンドポイントウイルス対策製品を無効にする。
• 感染したホストから認証情報を取得し、ネットワーク内を横移動したり、クラウドサービスのアカウントを侵害したりする。
• 正当なTLS証明書を持つドメインから署名付きバイナリや暗号化されたマルウェアのペイロードをインポートすることで、コンテンツフィルタの警告のトリガーを回避する。
• QakBot、Gozi、Vidarなどの既知のマルウェアを被害者のシステムにインストールする。
• 他の巧妙なランサムウェアと同様に、ロイヤルはファイルのポイントインタイムバックアップを提供する「シャドーコピー」を削除する。
• 署名されたMSIまたはVHDファイルを使用して、「BATLOADER」マルウェアのようなセカンドステージの追加ペイロードをダウンロードする。

Royalの最終段階の暗号化モジュールは、Windowsシステム上で実行できるように設計されたC++で書かれた64ビットの実行ファイルである。Royalの暗号化モジュールは当初、BlackCatランサムウェアの暗号化モジュールを借用していたが、2022年9月、Royalは "Zeon "として知られる新しい暗号化モジュールを使い始めた。Zeonは高度にマルチスレッド化されたプロセスで、ターゲットのCPUコア数を照会し、被害者のファイルをできるだけ早く暗号化するために2倍のスレッドを起動する

ロイヤル・ランサムウェアの攻撃を効果的に防ぐ防御戦術は、以下のような他のマルウェアを防ぐために使用される戦術と似ている：

• フィッシング・テクニックについて担当者を教育するためのユーザー意識向上トレーニングを検討し、不審な電子メールや文書を取り扱うための標準作業手順書（SOP）を作成する。
• 社外から送信された電子メールをユーザーに通知するよう、電子メールクライアントを設定する。
• モバイルデバイスの内蔵アプリストアやソフトウェアベンダーのウェブサイトなど、正規のソースからのみソフトウェアを入手する。
• 十分に保護されたオフライン・バックアップによる信頼性の高いバックアップ戦略を導入し、目標平均復旧時間（MTTR）目標を達成できるよう災害復旧手順を実践する。
• すべてのネットワーク・インフラストラクチャの脆弱性スキャンと侵入テストを定期的に実施し、発見された脆弱性を早急に修正する。
• Officeアプリケーションが「通知なしですべてのマクロを無効にする」または「デジタル署名されたマクロ以外を無効にする」に設定されていることを確認する。 
• すべてのリモートアクセスサービスに強力なパスワードと多要素認証（MFA）を義務付け、すべてのデフォルトパスワードが変更されていることを確認する。 
• 重要なネットワークをセグメント化し、ネットワーク侵入検知・防止システム（IDPS）を追加して、ネットワーク・アクティビティの異常動作を監視する。 
• 暗号化された文書を暗号化解除後すぐにスキャンするエンドポイントセキュリティ製品のインストールと設定 
• 重要なシステムを優先して、可能な限りゼロ・トラスト・ソリューションを導入する。