- 2020/12/22
- ランサムウェア
米国法執行機関、国内の病院に対して差し迫ったランサムウェア脅威を警告
Post by : Kyle Flaherty
2020年10月29日、米国サイバーセキュリティおよびインフラストラクチャセキュリティ庁(CISA)は、連邦捜査局(FBI)および保健福祉省(HHS)との共同アラートを発令しました。
同アラートにおいて、これらの機関は「米国の病院や医療サービス提供者に対する差し迫ったサイバー攻撃の脅威が増大しているという信頼できる情報をつかんでいる」と主張しています。
CISA、FBI、HHSでは、この脅威がマルウェア「TrickBot」の背後に存在するデジタル犯罪企業に起因するものだと考えています。TrickBotは、標的型のランサムウェア攻撃を行うマルウェアです。
TrickBotの最近の活動を振り返る
過去数年の間に、TrickBotは、データ窃盗型の脅威であるDyrezaに触発されたモジュール式のバンキング型トロイの木馬というその恵まれない生い立ちを乗り越えて、飛躍的な進化を遂げました。
サイバーリーズンのNocturnusチームは、EmotetをTrickBotのドロッパーとして使用する攻撃を2019年4月に発見した際に、TrickBotがより狡猾なものへと進化したことを初めて観測しました。
我々は、TrickBotがインストールに成功した時点で被害者から機密データを盗み出すこと、そしてその後、当該ネットワークを横方向に移動し、発見したホストにRyukランサムウェアを導入することを観測しました。
そしてその年の後半に、サイバーリーズンのNocturnusチームは、米国および欧州の金融サービス業、製造業、小売業に対する一連の標的型攻撃を発見しました。
この一連の攻撃は、TrickBotへの感染により始まりました。しかし、これまでの攻撃とは異なり、この攻撃は「Anchor」を使用してPOSシステムから機密情報を盗むことに重点を置いたものでした。Anchorとは、TrickBotと密接に関係していると思われるバックドア型のマルウェアです。
数ヶ月後、サイバーリーズンのNocturnusチームは、「Bazar loader」と呼ばれる別の脅威とTrickBotとの間の関連性を調査しました。Bazar loaderは、追加のマルウェアを導入した後、標的とした組織から情報を盗む機能を持つことが確認されました。
この新たな脅威に対抗するために、Microsoftは10月中旬、裁判所命令を利用し、かつ世界中の通信プロバイダーと協力することにより、TrickBotのインフラストラクチャを破壊する試みを行ったと発表しました。このテック業界の巨人は、この取り組みが、既知のコマンド&コントロール(C&C)サーバーを含むTrickBotのインフラストラクチャの94%を廃絶することを目指すものであったと発表しました。
しかし、Microsoftの2020年10月後半の観測によれば、このような廃絶の取り組みをもってしても、TrickBotギャングが活動を維持するために競合デジタル犯罪シンジケートと協力してTrickBotのペイロードをドロップすることを阻止できませんでした。
それと同時期にNETSCOUTは、TrickBot攻撃者がそのコードの一部をLinuxに移行させていることを発見しました。これにより、TrickBot攻撃者は、彼らが標的とする被害者を拡大できます。
電話会議に関する洞察
この共同アラートは、CISA、FBI、HHSが電話会議を開催し、Ryukランサムウェアへの感染の脅威について医療機関幹部に警告した翌日に発表されました。
この電話会議の参加者の一人がKrebsonSecurityに語ったところによると、これらの政府機関はIoC(Indicators of Compromise、侵害の痕跡)を共有しておらず、その代わりとして、システムにパッチを適用すること、そして不審な動きがあった場合は報告することを参加者に促していたとのことです。
しかし、KrebsonSecurityが指摘しているように、Ryukに関連付けられているIoCは被害者によって異なる傾向があります。これは、攻撃者が、感染ホストに悪意あるファイルをドロップするために異なるWindows実行ファイルを使用するためです。また、攻撃者は、彼らのペイロードとの通信を行う際に、各種のC&Cサーバー間での切り替えを行っています。
Ryukが持つこのようなダイナミズムが理由で、業界全体でIoCを使用してRyukに対する防御を行うことが、他のデジタル脅威に対する防御と比べてより困難になっています。
進行中の攻撃
この電話会議と同時期に、複数の病院でデジタル攻撃を受けたという報告が出始めました。
たとえば10月27日に、St. Lawrence Health Systemは、悪意あるアクターがCanton-Potsdam、Massena、Gouverneurの各地にある病院のコンピューターをRyukの新しいバリアントを使って標的にしたと発表しました。ただしWWNYによれば、この攻撃は、患者や従業員の情報を危険にさらすものではなかったとのことです。
同じ日に、Sky Lakes Medical Centerでは、同施設がランサムウェア攻撃を受けたと発表しました。この感染により、同医療機関のコンピューターシステムがダウンしたため、同病院では予定していた手続きを進める中でコミュニケーションを行うことが「困難」になりました。
その翌日、University of Vermont Health Networkはネットワーク障害を経験しました。NBC5によれば、デジタル攻撃が原因で、バーモント州とニューヨーク州北部にある6つの病院でネットワーク障害が発生したとのことです。
単なる注意喚起には留まらない
サイバーリーズンの最高セキュリティ責任者であるSam Curryは、この最新のランサムウェア脅威は、米国における医療機関にとって重要な意味を持つものであると感じています。
Curryは次のように話しています。「FBIとDHSが急遽予定を組んだ記者会見において、差し迫ったランサムウェア攻撃に関する米国の病院への警告を行ったことは、同業界にとって単なる注意喚起には留まりません。これは、真剣に受け止めなければならない行動喚起(CTA、Call To Action )なのです」。
「考えられる脅威に直面している病院や医療システムの数を比較すると、今回の攻撃は、2017年に英国の医療システムを襲った世界的なWannaCryランサムウェア攻撃の何倍ものリスクがあります。病院は、もう言い訳はできません。医療衛生と並んでサイバー衛生を実践する時が来ているのです」
さらにCurryは「生と死」の観点から潜在的な損害を見ることで、「医療用コンピューターネットワークがオフラインになれば、患者のケアは停止し、文字通り命が危険にさらされることになる」と述べています。このため、医療組織はレジリエンスを構築することに注力する必要があるとCurryは考えています。
「この問題に真剣に取り組むことは、標的にされた場合にすべての機能を失う危険を冒すのとは対照的に、一部のシステムを切断することで一部の機能を積極的に失うという厳しい選択を行うことを意味します」とCurryは締めくくりました。
CISA、FBI、およびHHSは、医療機関がセキュリティ上のベストプラクティスに従うことで、この脅威に真剣に対処することを推奨しています。これには、システムへのパッチの適用、設定の見直し、ネットワークシステムやアカウントに使用するパスワードを定期的に変更することなどが含まれています。Ryukランサムウェア攻撃から身を守る方法については、こちらにあるサイバーリーズンのガイドラインをご覧ください。
ホワイトペーパー「ランサムウェアの解読 〜最新型ランサムウェア攻撃の解説と防止策〜」
ランサムウェア攻撃は2018年前半に一旦大幅に減少したものの、その後の数年はすさまじい勢いで盛り返しています。身代金の支払いも急増しており、2019年12月には、攻撃者への身代金の平均支払い額は8万ドルを超えました。
昨今の攻撃者は、データの身代金を要求するだけでなく、データを盗んでインターネット上で売却もしています。このことは、攻撃者がランサムウェアを実行しているだけでなく、ネットワーク上にとどまってデータを抜き取り、最終的にランサムウェアを展開しているという傾向を示しています。
このホワイトペーパーでは、最新のランサムウェアがどのような特徴があり、どのように既存のセキュリティ対策を回避しているのかを解説しています。
https://www.cybereason.co.jp/product-documents/white-paper/4806/
