Microsoftは近年、最も被害が大きなランサムウェアの戦術や手法について、調査した結果を発表した。これらの攻撃は自動化されておらず、人間がキーボードを介して操作しているという。
ランサムウェアを扱うグループは、国家の支援を受けたハッカーと同じ手段を用いるようになっており、「システム管理やネットワークセキュリティでありがちな構成ミスについて広範な知識がある」。そして、徹底した偵察を行った後に「壊滅的な」ランサムウェアのペイロードを送り込む、と警告している。
「当社の調査によれば、これらの攻撃キャンペーンは隠密性には無関心のように見え、ネットワーク内で自由に活動できることを示している」(Microsoft)
Microsoftが調査したランサムウェアの亜種には、「REvil」「Samas(またはSamSam)」「Doppelpaymer」「Bitpaymer」「Ryuk」などがある。REvilが要求する身代金の平均は26万ドルで、選ぶ標的とその要求額から「大物を狙った」ランサムウェアに分類されるだろう。フォーチュン500に名を連ねる米国の設計・産業建設企業のEMCOR Groupは2月に、同社の2019年第4四半期の売上高は、Ryukによるダウンタイムが原因で悪影響を受けたことを明らかにした。
またMicrosoftは、同社が「Parinacota」と呼ぶ(Microsoftはサイバー犯罪の攻撃者に火山の名称を使用している)マルウェアグループを18カ月間にわたって監視している。これまでは、マシンをハッキングして仮想通貨マイニングマルウェアをインストールし、スパムを送信するというのが常とう手段だった。しかし最近は、企業ネットワークに「Wadhrama」ランサムウェアを仕掛け、ショーウィンドーを破って強引に窃盗する「smash and grab」式の攻撃を行い、ネットワークに侵入して1時間以内には身代金を請求している。また機会さえあれば、偵察を行い、ネットワーク内を移動するという。
Parinacotaは通常、RDP(リモートデスクトッププロトコル)の総当り攻撃を仕掛ける。インターネットで脆弱なデバイスをスキャンして、一般的な一連のパスワードを次々と試していく。
Microsoftは、このグループ独特の戦術の1つを特定した。Microsoft Threat Protectionインテリジェンスチームによると、攻撃者はネットワークへのアクセスを得た後、侵入したマシンのインターネット接続の有無と処理能力を調べる。
同チームはブログ記事で、「マシンが特定要件を満たしているか調べた後に、その他の標的を対象にRDP総当り攻撃を行っている。ほかの同種のランサムウェアでは見られない手法で、攻撃者はブロックされている可能性が低い、ほかのインフラストラクチャーを悪用できる。侵入したマシンに何カ月間も、動作中のツールを残したままという例があった」と述べている。
Wadhramaランサムウェアのグループは、侵入したマシン1台当たり0.5〜2ビットコイン(4500〜1万8268ドル)の身代金を請求する。請求金額は、そのマシンがユーザーにとってどれだけ重要であるかを勘案する。
ほかにも、人間が操作するランサムウェアの例としてRyukがあり、これは銀行を狙ったトロイの馬「Trickbot」を介して、ネットワークに侵入する。
「ランサムウェアの起動が、新旧さまざまなTrickbotインプラントで発生しているため、Ryukの背後にいる攻撃者はランサムウェアを展開するために、標的の状況を確認する何らかのリストを使用している可能性が高い」と、同チームは記している。
Microsoftによると、Trickbotは脅威レベルが低いと見なされることが多いため、直ちに隔離されないという。
「これは攻撃者にとって有利に働き、広範なネットワークで執拗に攻撃を展開することになる。またTrickbotとRyukの攻撃者は、その環境のローカル管理者を悪用し、そのユーザーが持つ権限を盗用して、本来ならば攻撃を防御するはずのセキュリティツールを無効にする」
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。