米連邦捜査局(FBI)は、ランサムウェア「LockBit 2.0」に関する新たなレポートを公開し、このランサムウェアによる攻撃について警鐘を鳴らした。このレポートでは、企業に対し、多要素認証(MFA)を有効にするとともに、管理者アカウントや価値の高いアカウントには他とは異なる強力なパスワードを使用することを求めている。
LockBit 2.0の攻撃には、VMWareの仮想化ソフトウェアである「ESXi」の脆弱性が利用されており、最近では「Windows」PCだけでなくLinuxサーバーも標的にされている。すでに、大手コンサルティング企業のAccentureや、フランス司法省などがこのランサムウェアの被害に遭ったとみられている。
LockBitを使用している攻撃グループは、ネットワークに侵入するためにあらゆる手段を用いている。FBIの報告書によれば、すでに侵入されているネットワークへのアクセス手段を「アクセスブローカー」から購入したり、パッチが適用されていないソフトウェアの脆弱性を悪用することはもちろん、金銭を支払って内部者からアクセス手段を獲得したり、未知のゼロデイ脆弱性を利用することもあるという。
LockBitを悪用するグループの手口は進化し続けている。FBIによれば、LockBit 2.0を使用する攻撃グループは、標的とする企業の内部者に対し、ネットワークへの最初のアクセス手段を得るための手助けをするよう求める広告を出し始めており、協力した内部者には、攻撃が成功した際に利益を分配すると約束しているという。また1カ月前には、「Active Directory」のグループポリシーを悪用して、Windowsドメインに属するあらゆるデバイスを自動的に暗号化するようになった。
LockBitは、ネットワークに侵入すると、「Mimikatz」などのペネトレーションテストにも利用されるツールを使って特権を昇格させる。身代金を支払おうとしない企業の情報を流出させると脅迫するため、複数のツールを使ってデータを抜き取ってからファイルを暗号化する。Lockbitは必ず、身代金を要求するドキュメントなどのランサムノートを被害者のシステム内に残し、復号ソフトウェアを入手する方法に関する案内を提示する。
ロシアを拠点とする他のランサムウェアグループと同じく、LockBit 2.0もシステムとユーザーの言語設定を確認し、その言語が東欧の言語のリストに当てはまる場合、その企業を攻撃対象から除外する。
Lockbit 2.0は、感染したデバイスのホスト名、ホスト構成、ドメイン情報、ローカルドライブ構成、マウントした外部ストレージデバイスなどの情報を特定し、収集する。その後、システムのコア機能に必要なものを除いて、ローカルやリモートのデバイスに保存されているあらゆるデータを暗号化しようとする。
FBIは対策として、ウェブメールや、VPNや、重要システムのアカウントに強力でユニークなパスワードとMFAを使用することに加え、OSやソフトウェアを最新の状態に保つほか、不必要な管理用共有へのアクセス権を削除するべきだと述べている。また、ホストベースのファイアウォールを使用することや、Windowsの「フォルダーアクセスの制御」で「保護されたフォルダー内のファイル」を有効化することを推奨している。
さらに、ネットワークのセグメント化や、異常な活動の調査、管理者レベル以上のアカウントに対する時間ベースのアクセス制限の導入、コマンドラインやスクリプトの使用や権限の無効化、そして(当然ながら)データのオフラインバックアップの維持などを行うよう勧めている。
この記事は海外Red Ventures発の記事を朝日インタラクティブが日本向けに編集したものです。