ランサムウェア「Hive」のハッカー、「Microsoft Exchange Server」狙う

Charlie Osborne (ZDNET.com) 翻訳校正: 編集部

2022-04-22 15:14

    • メールで送る
    • テキスト
    • HTML
    • 電子書籍
    • PDF
    • ダウンロード
    • テキスト
    • 電子書籍
    • PDF

 ランサムウェア「Hive」を使った脅威グループが、「Microsoft Exchange Server」の脆弱性を悪用して攻撃を展開している。

Hive

 Hiveは2021年6月に初めて発見された。サービスとしてのランサムウェア(RaaS:Ransomware-as-a-Service)モデルで運営されている。サイバー攻撃者は攻撃で一連のHiveランサムウェアを利用できる。

 この脅威アクターは、「.onion」アドレス経由でアクセスできるリークサイトを運営し、被害者について「公表して情報を暴露」するために利用しているようだ。さらに「二重脅迫」の手口を使い、ディスクを暗号化する前に、人質として企業の機密データを盗み出す。

 被害者が支払いを拒否すると、サイバー攻撃者はリークサイトに名前を掲載し、データを漏えいするまでの時間を設定する恐れもある。被害者にさらなるプレッシャーをかけ、恐喝の機会を増やすことが狙いだ。

 Hiveの被害者には、非営利団体、エネルギー業界、金融機関、ヘルスケア組織などが含まれる。

 Hiveのこうした活動について、米連邦捜査局(FBI)は2021年8月に警告を発した。米国保健福祉省(HHS)は今週、このRaaSについて「極端に攻撃的な金銭目的のランサムウェアグループ」として注意喚起した。

 Varonisのフォレンジックチームは米国時間4月19日、最近のインシデントを元に、このランサムウェアグループの戦術と手法を詳細に分析した新しい調査を公開した。

 ある企業のネットワークが侵入され、攻撃は72時間で完了したという。

 侵入には、Microsoft Exchange Serverの「ProxyShell」脆弱性が悪用された。Microsoftは2021年にこの脆弱性に対応するパッチを配布している。このセキュリティ上の問題により、Exchange Serverをリモートから完全に侵害できる可能性があった。

 一旦侵入に成功すると、 ウェブシェル(Webshell)の悪質なバックドアスクリプトがExchangeサーバーのパブリックアクセス可能なディレクトリーに置かれる。これらのウェブスクリプトは、侵害されたサーバーで、SYSTEM権限で悪質な「PowerShell」のコードを実行する可能性がある。

 悪質なPowerShellコードは、C2(コマンド&コントロール)サーバーから「Cobalt Strike」フレームワークに関連するさらなるステージャーをダウンロードする。この脅威アクターは、SYSTEM権限を利用し、新しいシステム管理者「user」を作成する。そして認証情報を窃盗するツール「Mimikatz」を使い、ドメイン管理者のNTLMハッシュを取得する。

 「ドメイン管理者のNTLMハッシュを盗むことで、パスワードを解読する必要がない。また、攻撃者はそれをPass-The-Hash攻撃で再利用し、ドメイン管理者アカウントを制御することに成功した」とVaronisの研究者は説明している。

 攻撃者はそれから、サーバーの偵察を行い、情報を収集した後、ランサムウェアのペイロードを展開する。

 プログラミング言語「Golang」で書かれているHiveのペイロードは、「windows.exe」という名のファイルに埋め込まれている。ファイルの暗号化、シャドウコピーの削除、セキュリティソリューションの無効化を行い、Windowsイベントログを消去する。さらに、「Security Accounts Manager」を停止し、SIEM(セキュリティ情報イベント管理)システムにアラートが送信されないようにする。

 暗号化が完了すると、すべてのデータを暗号化し、ファイルを盗んだことを被害者に告げ、身代金を要求するランサムノートを用意する。「個人データ、財務報告書、重要文書」を流出できる状態だと脅す内容だ。

 次に、この攻撃者の「営業部」に連絡し、暗号化キーを入手するように促す。連絡先は、Torネットワーク経由でアクセスできる.onionアドレスだ。

 さらに、データが失われないよう、以下のような「ガイドライン」に従うよう指示する。

  • 「*.key.」ファイルを修正、リネーム、削除しないように。データが復号できなくなる。
  • 暗号化されたファイルを修正したり、名前を変更したりしないように。データを失うことになる。
  • 警察やFBIなどに通報しないように。当局は企業のビジネスに関心はなく、単に身代金の支払いをしないよう命じるだけだ。その場合、企業はすべてを失うことになる。

 Varonisの研究者は、「ランサムウェア攻撃は、ここ数年間で著しく増加しており、脅威アクターが利益を最大化するために、依然として好んで使用している手段だ」と指摘する。「攻撃は損害をもたらす可能性がある。組織の評判を損ない、通常業務を中断させ、機密データを一時的に、場合によっては永久に失う恐れがある」

 Varonisは、Exchange Serverにパッチが適用されていることを確認するよう促している。また、定期的なパスワードの変更、SMBv1の無効化などを推奨している。

 また、従業員が職務で必要なリソース以外アクセスできないようにすることを勧めている。アカウントが侵害された場合に、攻撃対象を制限できるためだ。

この記事は海外Red Ventures発の記事を朝日インタラクティブが日本向けに編集したものです。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

メールマガジン購読のお申し込み

関連記事

関連キーワード
Microsoft
日本マイクロソフト
ランサムウェア
脆弱性(ぜいじゃくせい)

関連ホワイトペーパー

人気カテゴリ
経営
セキュリティ
クラウドコンピューティング
仮想化
ビジネスアプリケーション
モバイル

特集

CNET Japan Top Story

ホワイトペーパー

新着

ランキング

  1. セキュリティ

    「デジタル・フォレンジック」から始まるセキュリティ災禍論--活用したいIT業界の防災マニュアル
  2. 運用管理

    「無線LANがつながらない」という問い合わせにAIで対応、トラブル解決の切り札とは
  3. 運用管理

    Oracle DatabaseのAzure移行時におけるポイント、移行前に確認しておきたい障害対策
  4. 運用管理

    Google Chrome ブラウザ がセキュリティを強化、ゼロトラスト移行で高まるブラウザの重要性
  5. ビジネスアプリケーション

    技術進化でさらに発展するデータサイエンス/アナリティクス、最新の6大トレンドを解説
ホワイトペーパーライブラリー

ZDNET Japan クイックポール

注目している大規模言語モデル(LLM)を教えてください

投票する

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]