米サイバーセキュリティ・インフラセキュリティ庁(CISA)は米国時間9月22日、米国家安全保障局(NSA)および米連邦捜査局(FBI)と共同で、ランサムウェア「Conti」に関するアドバイザリーを公開した。攻撃を仕掛けているランサムウェアグループとそのアフィリエイトについて、詳細情報を提供している。
FBIは5月、米国の組織や海外企業を狙った、Contiランサムウェアによる攻撃が400件以上確認されており、そのうち290以上が米国の組織に対するものであることを明らかにした。CISAは、ランサムウェアグループが通常どのように機能しているのか、そして組織が潜在的な攻撃を回避するための手段について、技術的な説明を提供した。
CISAはContiについて、サービスとしてのランサムウェアだが、他のものとはやや異なると指摘した。身代金の一部を報酬としてアフィリエイトに支払う代わりに、ランサムウェアを運用した攻撃者に賃金を支払っている。
NSAのサイバーセキュリティ担当ディレクターであるRob Joyce氏によると、現在サービスとしてのランサムウェア攻撃を仕掛けている犯罪者はこれまで、防衛産業基盤(DIB)などの重要インフラを標的にしていたという。同氏によると今回のアドバイザリーは、脅威に対抗するために組織がすぐに実行できる対策を提供している。
Joyce氏はTwitterで、Contiによる攻撃が増加しているため、組織に多要素認証、ネットワークのセグメント化、ネットワークセキュリティを最新の状態に保つためのパッチ管理システムの使用などを呼び掛けている。
CISAは、Contiの攻撃者がスピアフィッシング攻撃、リモート監視・管理ソフトウェア、リモートデスクトップソフトウェアなど、さまざまな手法やツールを用いて、システムに侵入していると説明した。
ランサムウェア攻撃で使われるツールには、盗んだあるいは脆弱なリモートデスクトッププロトコル(RDP)の認証情報、電話、偽のソフトウェア、「ZLoader」など不正な配布ネットワーク、外部資産の一般的な脆弱性などをある。
「実行段階では、より攻撃的なペイロードを使用する前にgetuidペイロードを実行して、ウイルス対策エンジンが作動するリスクを減らしている。またCISAとFBIは、Conti攻撃者が侵入テストツールの『Router Scan』を悪用して、ウェブインターフェースを備えたルーター、カメラ、ネットワーク接続ストレージ(NAS)デバイスをスキャンし、ブルートフォース攻撃を行っているのを確認している。ほかにも、Kerberos認証を攻撃して、ブルートフォース攻撃のためにAdminハッシュを取得しようとしている」(CISA)
またContiのオペレーターは、被害者のネットワークで永続性を維持するためのバックドアとして、遠隔監視・管理ソフトウェアや、リモートデスクトップソフトウェアを使用することがある。
CISAによると、ランサムウェアグループとアフィリエイトは被害者のネットワーク上にすでに存在するツールのほか、「Windows Sysinternals」や「Mimikatz」のようなツールを追加して、「ユーザーのハッシュやクリアテキストの認証情報を取得し、ドメイン内での特権を昇格することで、それに続く攻撃や水平移動のタスクなどを実行している」。
一部の攻撃では、侵入後のタスク実行に、マルウェアの「TrickBot」が使用されているという。
「攻撃者は、被害者の機密データを盗んで暗号化した後、二重脅迫の手口を利用している。それは、暗号化したデータの復号ツールの見返りに身代金を要求し、支払いを拒んだ場合はデータを公開すると脅すやり方だ」(CISA)
Joyce氏が先に述べたように、CISA、FBI、NSAは、組織がネットワークのセグメント化、トラフィックのフィルタリング、脆弱性のスキャンを行い、最新のセキュリティパッチを適用することを推奨している。また、不要なアプリケーションや制御機能を削除し、エンドポイントおよび検出対応ツールを実装して、ネットワーク全体でアクセスを制限する必要があるとしている。
Contiは、5月のアイルランド保健サービス委員会(HSE)に対する攻撃するなど、多数の医療機関を標的にしたことで、にわかに注目を集めた。ほかにも、ユタ大学、オクラホマ州タルサ市、スコットランド環境保護庁などが被害に遭っている。
この記事は海外Red Ventures発の記事を朝日インタラクティブが日本向けに編集したものです。
