- 2023/01/10
- ランサムウェア
FBIとCISA、Cubaランサムウェアに関する警告を発表
Post by : Dan Verton
FBIとCISA(Cybersecurity and Infrastructure Security Agency)は、Cubaランサムウェアに関連する「侵害の痕跡(IOC)」について、木曜日に共同勧告しました。この勧告は、米国政府が推進している「#StopRansomwareキャンペーン」における最新の発表となるものです。
この勧告は、2021年12月に発表された『FBI Flash: Indicators of Compromise Associated with Cuba Ransomware』を更新するものです。この『FBI Flash』の公開以降、Cubaランサムウェアによりハッキングされた米国企業の数は倍増しており、同ランサムウェアに伴う身代金の要求および支払いの件数は急速に上昇しています。
この勧告には次のような記述があります。「今年になって、CubaランサムウェアアクターはTTPを強化しています。また、サードパーティおよびオープンソースのレポートによれば、Cubaランサムウェアアクター、リモートアクセス型トロイの木馬(RAT)であるRomComアクター、およびIndustrial Spyランサムウェアアクターの間には何らかのつながりがあることが確認されています」。
また、同勧告には次のような記述もあります。「このランサムウェアは“Cuba”ランサムウェアと呼ばれているものの、Cubaランサムウェアアクターがキューバ共和国(Republic of Cuba)との間に何らかのつながりや協力関係を持っていることを示すような兆候は存在していません」。
技術的詳細
Cubaランサムウェアアクターは、次のような各種の手法を活用することで、複数の重要インフラ分野における数10社の事業体への初期アクセス権を取得しています。
- 商用ソフトウェアに含まれている既知の脆弱性を突く
- フィッシング攻撃
- クレデンシャルのハッキング
- 正規のリモートデスクトッププロトコル(RDP)ツールを利用する
最初のアクターは初期アクセス権を取得した後、Hancitorを通じて感染先のシステム上でCubaランサムウェアを配布します。Hancitorとはローダーの一種であり、リモートアクセス型トロイの木馬(RAT)のような情報窃取プログラムや、それ以外のタイプのランサムウェアを被害者のネットワーク上にドロップして実行することで知られています。
2022年春以降、CubaランサムウェアアクターはTTPとツールを変更しており、これにより、侵入先のネットワークとの対話を行った上で、支払いを強要することが可能となりました。
ランサムウェアの導入に加えて、脅威アクターは「二重脅迫」と呼ばれる手法を利用するようになっています。二重脅迫とは、データを窃取した上でデータを暗号化し、データを複合化したければ身代金を支払うよう要求し、身代金を支払わないならばデータをネット上に公開すると脅す手口のことです。
この勧告によれば、Cubaランサムウェアアクターは次のようなツールや脆弱性を利用しているとのことです。
- Windows Common Log File System(CLFS)ドライバの脆弱性CVE-2022-24521を悪用することで、システムトークンを盗み権限を昇格させる。
- PowerShellスクリプトを使用して、関連するActive DirectoryのKerberosチケットに対応するサービスアカウントを特定し、そのアカウントを標的にする。
- KerberCacheと呼ばれるツールを使って、ホストのLSASS(Local Security Authority Server Service)メモリから、キャッシュされたKerberosチケットを抽出する。
- 脆弱性CVE-2020-1472(別名“ZeroLogon”)を悪用するツールを利用して、ドメイン管理者権限を取得する(なお、このようなツールとその侵入方法は、HancitorとQbotに関連があると言われています)。
被害を最小限に食い止めるためのランサムウェア対策
ランサムウェア攻撃への対策について、フェイズに分けて解説します。まず、侵入対策としては、リモートからの侵入が非常に多いことから、リモートアクセスに使われるアカウントは必要最小限にして、パスワードは推測しにくい複雑なものにします。
プライベートでサイト登録などに使っているパスワードを使い回すと、そのサイトから情報漏洩した場合に、攻撃に利用されることもあります。特に外部公開しているサーバーは、リモートアクセスを最小限にして、脆弱性には早急にパッチをあてます。なお、サーバーの保守契約に脆弱性対策が含まれないこともあるので、契約内容はしっかり確認する必要があります。
感染拡大防止についてはWindowsの機能や、ファイル共有の仕組みが悪用されることが多いので、機能の利用やファイル共有アクセスの範囲は必要最小限にし、各PCについても最新のパッチを適用することが必要です。
また、ファイル暗号化対策に有効なのはオフラインバックアップの取得であり、オフラインバックアップはオンラインバックアップほど頻繁にはできませんが、一定期間ごとに取得しておくことをおすすめします。
そして、インシデントに備えるためには最悪の事態を想定し、事前に準備をすることが求められます。暗号化されて使えなくなった端末を復旧する時間や工数を考えたら、いっその事PCを買い替えるという選択肢もあるでしょう。また、メールが使えなくなったり、システムの安全性が証明できない限りメール受信やネットワークへのアクセスを拒否しますと取引先から言われたりしたらどうするのか、その時の代替案の検討も必要です。
さらに、PCやネットワークが隔離された状況で、最低限の業務を再開させなければならない場合、ファイルの移動や、USB経由のデータ移動させるときのポリシーを想定しておく必要もあります。このようなことは事前に準備する必要があり、何も起きていないときこそが、その準備を行うタイミングと言えるでしょう。
【ホワイトペーパー】最新の脅威分析から読み解くランサムウェア対策〜ランサムウェアとサプライチェーン攻撃から情報資産を守るには〜
世界中で猛威をふるうランサムウェア。
その最新の攻撃にはどのような特徴があり、またどのような脅威があるのか。
本資料では、ランサムウェア、サプライチェーン攻撃、Emotetなど最新の脅威分析から傾向を読み解き、あらゆる企業・組織が今取るべき効果的な対策についてご紹介します。
https://www.cybereason.co.jp/product-documents/white-paper/8261/
