Muliaka

Muliakaはランサムウェア攻撃を展開する新たなランサムウェアギャングとして認識されたグループの名称です。
モスクワに本拠を置くサイバーセキュリティ会社FACCTが発見しました。

• ターゲットの地域
  このグループの活動で現在確認されているターゲットの地域はロシアの会社です。
• 目的
  目的は金銭です。
  ランサムウェアで被害者のファイルを暗号化します。
  そしてデータ復号化のために被害者に身代金を強要します。
• 初期アクセス
  入り口は公的に利用可能なリモートアクセスサービス（RDP、VPN）や公開アプリケーションの脆弱性であることが考えられますが、詳細はまだわかっていません。
• 暗号化被害を受ける環境
  攻撃対象となるOSは、WindowsとESXiです。
• 潜伏期間
  このグループの活動での動きは潜伏期間が約2週間でした。
  最初に侵入したタイミングから暗号化が開始されるまでに2週間の時間差がありました。
  この時間差によって、詳細なログはすでに失われた状態になってしまっており、調査が実施しにくい状況となってしまっていました。
• Windows機での侵害事前処理
  Windowsの稼働する機器では、侵害が開始された後暗号化が開始される前の処理を実施するPowerShellのscriptが確認されています。
  このscriptは、データベースとバックアップサービスの停止と無効化、復旧ポイントとボリュームシャドウコピーの削除、現在のバックアップ/復元操作のキャンセル、実行中の仮想マシンの強制停止を行います。
  そしてホスト上のネットワーク アダプタも無効にし、それによってホストをネットワークから切断します。
  この事前処理が動作してしまうと、もうこの機器で発生している事象の記録は環境に統合ログ管理サーバがあったとしても送信されることはありません。
• ESXi機での侵害事前処理
  ESXiの稼働する機器でも、暗号化前の事前処理を実施するscriptが確認されています。
  環境のSSHを有効化し、ランサムウェアの開始時刻を指定するShell scriptをESXi上で実行し、管理者による介入を防ぐためにESXi上のSSHを無効化しました。
• Windows機用のランサムウェア
  調査の結果、このMuliakaの使用するランサムウェアは、Conti3ランサムウェアの漏洩したソースコードをベースに開発されたものであると考えられています。
  このランサムウェアはファイルサイズによって暗号化の範囲を変更して動作します。
  より短い時間で、より効果的に侵害環境の暗号化を完了することが狙われているものと考えられます。
  セキュリティ対策による保護を回避するため、Rustで書かれたローダーが使用され、ローダーの中に埋め込まれた暗号化部分を復元して、メモリにロードし、起動時に復号化キーを指定してからメモリ上で直接実行する、という手法がとられています。
• ESXi機用のランサムウェア
  これはまだ詳細の情報が確認されていません。
  ただ現時点では見つかったサンプルのほぼすべてがウクライナからVirusTotalにアップロードされています。
  これは何を意味するのでしょうか。

漏洩したマルウェアのコードから始まる脅威というものが後を絶ちません。
また出てきてしまうのでしょうか。

参考記事（外部リンク）：Очень грязные дела: обзор преступных групп вымогателей,
атаковавших Россию в 2023-2024 году
www.facct.ru/blog/ransomware-2023-2024/