Cato CTRL 脅威リサーチ：Hellcatの正体 – 単なるランサムウェアグループにあらず

要旨 

新たなランサムウェアグループが、重要インフラや政府機関、教育機関、エネルギー業界を標的にしています。

そのグループの名前は？ 

Hellcatです。 

では、Hellcatとは一体何者なのでしょうか？ 

Hellcatは、2024年にダークウェブフォーラム上に登場した新しいランサムウェアグループ です。このグループは ランサムウェア・アズ・ア・サービス（RaaS）モデル を採用し、ランサムウェアのツールやインフラを提供する代わりに、利益の一部を得ています。 

また、Hellcatは二重恐喝（ダブルエクストーション）戦術を使用し、単なる金銭的要求にとどまらず、標的を屈辱に追い込み、公的な圧力をかける心理的要素も利用しています。本ブログでは、2024年 11〜12月 に確認されたHellcatの活動をまとめています。これらの情報は、Cato CTRLおよび第三者情報源からの調査結果を基にしたもの です。

Cato SASE Cloud Platformを活用することで、組織はセキュリティスタックを利用してランサムウェア攻撃の連鎖を迅速に遮断することが可能です。 

• Cato IPS：多数の脅威インテリジェンスソースからのデータを活用し、以下のような潜在的なランサムウェアをブロックすることができます：
  • マルウェアC&C、ランサムウェア、フィッシングなど、さまざまな脅威に関連する可能性が高い疑わしいWebサイトへのアクセスをブロックします。 
  • ランサムウェアを拡散しようとする疑わしい悪意のあるホストをブロックします。 
  • 脅威アクターがランサムウェアの拡散に利用する可能性のあるWAN上の横方向のトラフィックをブロックします。
• Cato FWaaS：ユーザーが悪意のあるWebサイト（マルウェアカテゴリなど）にアクセスするのを防ぎ、ランサムウェアを含む可能性のある悪意のあるペイロードの誤ダウンロードを防止します。
• Cato NGAM： 追加の保護層を提供し、Cato ZTNA（ゼロトラストネットワークアクセス）を支援します。これらのエンジンは、悪意のあるダウンロードの試行を防ぎ、関連するランサムウェアがユーザーのデバイス上で実行される前にブロックします。

技術概要 

身代金要求と攻撃対象

以下は、2024年11月にHellcatが実行した二重恐喝（ダブルエクストーション）攻撃の詳細な内訳です。特筆すべき点として、2024年11月14日にグループとその関連組織が3件の攻撃を実行しました。

Schneider Electric SE（2024年11月2日）

図1.Schneider Electric SEに対する身代金要求（出典: Bleeping Computer）

事件の詳細：Bleeping Computerによると、Hellcatはフランスのエネルギー企業Schneider Electric SEの社内Jiraプロジェクト管理システムに侵入し、40万行のユーザーデータを侵害し、40GB以上の機密情報を流出させました。流出したデータには、75,000件のユニークなメールアドレスおよび、Schneider Electricの従業員や顧客のフルネームが含まれていました。

グループは、「バゲット」という形で12万5千ドルの身代金を要求し、さらに企業を嘲笑しました。屈辱を与えることは、Hellcatが使用する主要な心理的戦術の一つです。

タンザニア経営大学（2024年11月4日）

図2.タンザニア経営大学のデータ流出

事件の詳細：Hellcatは、「Hikkl-Chan」との協力のもと、50万件以上の学生、教職員、スタッフの個人情報（PII）を公開したと主張しています。Hackreadによると、同じ脅威アクターは以前に、ロシアのソーシャルネットワーキングサイトVKontakte（VK）から3億9000万人以上のユーザーの機密データを流出させていたとされています。

米国の主要大学（2024年11月14日）

  

図3.米国大学のルートアクセス販売

事件の詳細：Cato CTRLの調査によると、グループは年商56億ドル以上の米国の主要大学に狙いを定めました。彼らは大学のサーバーへのルートアクセスをダークウェブのフォーラムにおいて1,500ドルという「低価格」で販売していました。そのアクセスは、学生の記録や財務システム、重要な運営データを危険にさらす可能性があり、大学の評判の大きな損失や法的な結果を引き起こす可能性があります。

フランスのエネルギー流通会社（2024年12月1日）

図4.フランスのエネルギー流通会社のルートアクセス販売

事件の詳細：Cato CTRLの調査によると、グループは年商70億ドル以上のフランスのエネルギー流通会社を標的にしました。グループは、その会社のサーバーへのルートアクセスを500ドルで提供しました。

イラク市政府（2024年12月1日）

図5.イラク市政府のルートアクセス販売

事件の詳細：Cato CTRLの調査によると、グループはイラク市政府のサーバーへのルートアクセスを300ドルで販売し、重要な公共サービスを妨害する意図を強調していました。イラク政府が標的にされたのは初めてではありませんでした。Resecurityによると、イラクの独立高等選挙委員会（IHEC）からの21.58GBの有権者データと個人情報（PII）を含むデータベースが、サプライチェーン攻撃によって流出しました。

Q3 2024 Cato CTRL SASE Threat Report | Download the report

攻撃で使用されたTTP（戦術・技術・手法）

Cato CTRLは、Hellcatが使用した戦術、技術、手法（TTP）の詳細な分析を明らかにしました。主な内容は以下の通りです：

• Schneider Electric SEの攻撃では、Jiraのような企業ツールにおけるゼロデイ脆弱性を悪用しました。 
• 米国の大学やフランスのエネルギー流通会社に対する攻撃に見られるように、ファイアウォールや重要インフラを標的にした攻撃が行われました。 
• ルートまたは管理者権限への権限昇格 
• ターゲットシステムを暗号化する前にデータを流出させる二重恐喝（ダブルエクストーション）

結論 

2024年に登場したHellcatは、サイバー犯罪の状況における深刻な変化を示しています。RaaSモデルを活用し、二重恐喝戦術を使用することで、Hellcatはランサムウェアのアクセス可能性を高めただけでなく、犠牲者への心理的影響をも強化しています。このギャングが政府、教育、エネルギーなどの分野に焦点を当てていることは、新たに登場したランサムウェア集団から守るために、強化されたサイバーセキュリティ対策と警戒が必要であることを強調しています。ランサムウェアとの戦いは、ますます高度化するサイバー犯罪者を出し抜くために、絶え間ない適応と認識を必要とします。 

保護

Cato SASE Cloud Platformを活用することで、組織はセキュリティスタックを利用してランサムウェア攻撃の連鎖を可能な限り迅速に遮断することができます。 

• Cato IPS：多数の脅威インテリジェンスソースからのデータを活用し、以下のような潜在的なランサムウェアをブロックすることができます：
  • マルウェアC&C、ランサムウェア、フィッシングなど、さまざまな脅威に関連する可能性が高い疑わしいWebサイトへのアクセスをブロックします。
  • ランサムウェアを拡散しようとする疑わしい悪意のあるホストをブロックします。
  • 脅威アクターがランサムウェアの拡散に利用する可能性のあるWAN上の横方向のトラフィックをブロックします。 
• Cato FWaaS：ユーザーが悪意のあるウェブサイト（マルウェアカテゴリなど）にアクセスするのを防ぎ、ランサムウェアを含む可能性のある悪意のあるペイロードを誤ってダウンロードすることを防止します。 

Cato NGAM：追加の保護層を提供し、CatoのZTNA（ゼロトラストネットワークアクセス）に貢献します。これらのエンジンは、悪意のあるダウンロードの試行を防ぎ、関連するランサムウェアがユーザーのデバイス上で実行される前にブロックします。