Crypto24というランサムウェアグループは、侵害されたネットワーク上でのセキュリティ対策を回避するためのカスタムツールを使用しています。彼らは、アメリカ、ヨーロッパ、アジアの大規模な組織を標的にし、特に金融、製造、エンターテインメント、テクノロジー分野に焦点を当てています。研究者によると、Crypto24は高度な技術を持っており、かつてのランサムウェア運営のメンバーが関与していると考えられています。侵入後、攻撃者はWindowsシステム上で管理者アカウントを有効にし、持続的なアクセスを確保します。その後、カスタムバッチファイルを用いてリコンナissance(偵察)を行い、悪意のあるWindowsサービスやタスクを作成します。また、Crypto24は独自のオープンソースツールRealBlindingEDRを使い、複数のセキュリティプロバイダーのカーネルドライバーを無効化します。特にTrend Micro製品に対しては、管理者権限を用いて公式ツールを使ったアンインストールが行われ、後続のペイロードの検出を妨げます。攻撃者は横移動のためにSMB共有を使用し、データをGoogle Driveに抽出します。最後に、暗号化プロセスを実行する前にボリュームシャドウコピーを削除します。防御策としては、Trend Microが提供する攻撃の指標(IOC)を活用してCrypto24の攻撃を事前に検知・阻止することが推奨されています。
Read more
Crypto24ランサムウェア、大規模組織にカスタムEDR回避ツール使用
未分類
コメント