- 2022/08/31
- ランサムウェア
最も脅威な5つのランサムウェアグループについて知る
Post by : Anthony M. Freed
ランサムウェアは過去数年の間に大きく変貌を遂げており、それに伴ってセキュリティも進化を余儀なくされています。複雑で高度な標的型のランサムウェア(これをRansomOps™と呼ぶ)は、標的から数百万ドルの身代金を脅し取ることを目的として、ネットワーク全体に侵入しようとします。
『RansomOps〜複雑なランサムウェアオペレーションの内側とランサムウェア経済〜』と題された最近のレポートでは、「ランサムウェアオペレーションは、ここ数年で劇的に変化しており、それは主に迷惑な攻撃を行う小規模な家内工業から、ますます高いレベルのイノベーションと技術的洗練性を備えた非常に複雑なビジネスモデルへと大きく変貌を遂げている」と指摘されています。
RansomOpsは、古い「Spray & Pray(下手な鉄砲も数撃ちゃ当たる)」方式の攻撃には似ておらず、どちらかと言えばステルス型の国家的なAPTにより近いものです。その特徴としては、技術的な洗練性、二重脅迫を目的としたデータ流出、専門のプレーヤー、大物狙いなどが挙げられます。
多くの場合、RansomOpsの提供者は、盗まれたデータをインターネット上に公開されたくなければ身代金を支払うよう脅します。そして、身代金の要求額は通常、膨大な額となります。
サイバーリーズンの共同創業者兼CEOであるLior Divは次のように述べています。「ランサムウェアギャングは、数百万ドルの身代金を支払う能力のある組織を標的とした攻撃へと戦略的にシフトしており、これが2021年における攻撃件数の増加に拍車をかけています」。そしてこれは現在、多くのビジネスリーダーが懸念するところとなっています。
Gartner社は、昨年、経営幹部の間で新しいランサムウェアのモデルがもたらす脅威が最大の関心事となったと指摘しています。利害関係、進化し続ける状況、そしてこれまでに公になったRansomOps攻撃に注目するならば、なぜそうなったかの理由がわかるでしょう。
最も脅威な5つのランサムウェアグループの紹介
DarkSideランサムウェアギャング
DarkSideは、悪名高いColonial Pipelineへの攻撃を行った首謀者と見られています。この攻撃は、米国の重要な国家インフラを大胆に狙ったものであり、東海岸の石油供給を数日間停止させる原因となりました。DarkSideは、「REvilというRaaS(Ransomware-as-a-Service)グループの元アフィリエイトである可能性が高い」と考えられており、同グループは二重脅迫のトレンドに大きく依存しています。二重脅迫とは、脅威アクターが標的のデータを暗号化するだけでなく、まずデータを流出させた後、身代金の要求に応じなければデータを公開すると脅すことを意味します。
DarkSideは、英語圏の国々にある企業や組織をターゲットとしており、旧ソ連圏の国家に関連する国々の企業や組織はターゲットから外しています。このグループは、病院、ホスピス、学校、大学、非営利団体、政府機関に対する攻撃を禁止する行動規範を持っているようです。このような行動規範を設けることは、被害者による信頼をある程度確立するための取り組みであり、被害者が身代金を払う可能性を高めることを目的として、同グループがそれを行っていることは間違いないでしょう。
BlackCatランサムウェアギャング
Tech Targetは、「セキュリティ研究者は最近、BlackCatのオペレーターが産業組織を標的にすることに関心を高めていることを明らかにした」と指摘しており、RansomOpsグループが金儲けだけでなく政治的および社会的混乱を狙っている可能性を示唆しています。BlackCatギャングは、ドイツの石油会社数社も標的にしていました。
BlackCatは、少なくとも6ヶ国の「通信、商業サービス、保険、小売、機械、医薬品、輸送、建設業界」を攻撃しており、それは2021年で最も巧妙なランサムウェアと呼ばれました。
興味深いことに、このソフトウェアはRust(ランサムウェアでは珍しい言語)で構築されており、三重脅迫手法を使うこともありません。BlackMatterの子孫とされるBlackCatは3月だけで60以上の組織を標的としており、それ専用のFBIアラート速報を引き起こすほどの問題を起こしました。
Contiランサムウェアギャング
Contiランサムウェアグループは、比較的短期間に大きな被害をもたらし、それは世界中で大きなニュースとなりました。しかし、Contiはどこからともなく現れたわけではありません。ランサムウェアグループは、常に変化と進化を続けており、時間の経過とともにブランドを変えていきます。そして、ContiはRyukランサムウェアの後継として特定されています。
今年2月にFBIはContiに関する警告を発表し、「米国および国際組織に対する攻撃が1,000件以上に増加している」と警告しました。この強大な脅威グループは、TrickBotグループから多くの元メンバーを引き抜いており、同ランサムウェアは、マシンに感染するだけでなく、SMB経由でネットワークに広がり、リモートファイルも暗号化することで知られています。
NetWalkerランサムウェアギャング
2020年以降、2500万ドル以上を稼ぎ出したNetWalkerランサムウェアギャングは、米国司法省によるグローバルな是正措置の試みを引き起こしました。裁判所文書によると、このグループは「いわゆるRaaS(Ransomware-as-a-Service)モデル」を採用しており、同モデルでは、開発者が悪意あるコードを作成し、アフィリエイトが被害者を見つけて攻撃を行い、最終的に両者が収益を折半するというように、正規のビジネスと同じレベルの分業体制が整っています。
サイバーリーズンの脅威調査チームであるNocturnusによれば、「NetWalkerは、ネットワーク上の隣接するマシンの共有ネットワークドライブを暗号化する」ものであり、それはすでに 「世界中のさまざまな業界への攻撃で採用されている」高度な脅威をもたらしているとのことです。
米国およびブルガリアの当局は、NetWalkerランサムウェアギャングが被害者に対する二重脅迫を行うために利用していたデータ流出サイトを押収することに成功しました。また、フロリダ州の裁判所は、この当局による手入れに関連して、NetWalkerの拡散に協力した疑いのあるカナダ人を起訴しました。
Black Bastaランサムウェアギャング
当社のブログ記事には、「2022年4月20日、BlackBastaという名のユーザーがアンダーグラウンドフォーラムのXSS[.]IS とEXPLOIT[.]INに、収益の分け前を得るために企業ネットワークへのアクセス権を購入しマネタイズすることを意図した投稿を行いました」とあります。Black Bastaは、この4月に発見されたばかりの新種のランサムウェアですが、同グループは最初の3ヶ月で50人近くの犠牲者を出しており、激しく素早い攻撃を仕掛けています。
彼らのハッキングフォーラムへの投稿では、英語圏のみを標的にしていることが示唆されており、そのLinuxバリアントは、Linuxサーバー上で動作するVMware ESXi仮想マシンを狙っています。また、Black Bastaギャングは、そのランサムウェアのルック&フィール、Webデザイン、交渉のスタイル(攻撃を受けたことを公表した組織や、当局に助けを求めた組織に対する罰としてデータを流出させることを含む)などから、Contiとの関連性が指摘されています。
XDRを使用してRansomOpsを防止する
企業や組織は、ランサムウェア攻撃の各ステージにおいて、同攻撃からの防御を実施できます。たとえば、配信段階では、悪意あるリンクや悪意のあるマクロが添付されたドキュメントを使用して、疑わしいメールをブロックできます。また、インストール段階では、セキュリティチームは、新しいレジストリ値を作成しようとするファイルを検知し、エンドポイントデバイス上の疑わしいアクティビティを特定できます。
ランサムウェアがコマンド&コントロールを確立しようとする場合、セキュリティチームは、既知の悪意あるインフラへのアウトバウンド接続の試行をブロックできます。続いて、同セキュリティチームは、脅威指標を利用することで、アカウントへのハッキングやクレデンシャルアクセスの試行を、よく知られた攻撃キャンペーンに関連付けることができるほか、予期せぬアカウントやデバイスから起動されたネットワークマッピングや検知の試みを調査できます。
また、防御者は、自らが通常対話を行わない他のネットワークリソースにアクセスしようとするリソースにフラグを立てることで、データの流出やファイルの暗号化の試みを検知できます。
実際のランサムウェアのペイロードが配信され実行されるのは、RansomOps攻撃の最終段階においてであり、ランサムウェアのペイロードが配信される前に、攻撃者は数週間から数ヶ月にわたって、ターゲットネットワーク上で検知可能な活動を行っています。これは、防御者には、標的となる組織に深刻な影響が及ぶ前に攻撃を阻止できるチャンスが十分にあることを意味しています。
サイバーリーズンが提供する製品・サービスについて
サイバーリーズンが提供するNGAV製品「Cybereason NGAV」、「Cybereason Endpoint Prevention」は、「シグネチャベース検知」「機械学習による静的バイナリ解析」「ファイルレスマルウェアブロック」「アンチランサムウェア」「振る舞いベースのドキュメント保護」「エクスプロイト保護」という6層の防御機能を備えることで高度な攻撃を阻止できるようになっています。
また、これらの対策を潜り抜けて内部に侵入してきた高度な脅威に対しては、EDR製品「Cybereason EDR」が独自の相関解析処理と機械学習機能を駆使して攻撃の全体像をあぶり出し、適切に対処することを可能にします。
加えて、自社内でEDRを運用するのが難しいお客さまに対しては、MDRサービス「Cybereason MDR(Managed Detection and Response)」と呼ばれる監視代行のマネージドサービスも提供しています。
2022年下半期セキュリティ予測 〜4つの脅威から紐解く、 2022年上半期の振り返りと下半期のサイバーセキュリティの展望〜
サイバーリーズンは大きな影響を及ぼす4つの脅威を2022年下半期のサイバーセキュリティ予測として取り上げました。
4つの脅威についてそれぞれ2022年上半期の動向を振り返りながら、2022年下半期のサイバーセキュリティ予測について説明します。
https://www.cybereason.co.jp/product-documents/survey-report/8823/
