Microsoftは米国時間10月14日、ウクライナとポーランドの輸送機関や物流組織を攻撃している新たなランサムウェアキャンペーンを発見したと発表した。
提供:Getty Images
同社は、この攻撃者が特定のソフトウェアの脆弱性を突いていることを確認したわけではないが、いずれの攻撃でも、盗み出された「Active Directory」の管理者アカウントの認証情報が用いられているとしている。
Microsoft Threat Intelligence Center(MSTIC)によると、攻撃者は身代金要求の文面では「Prestige ranusomeware」と名乗っているという。
10月11日に展開されたこのランサムウェアキャンペーンは、企業全体を標的にしているという点でウクライナではあまり見かけないケースであり、Microsoftが追跡している他の94のランサムウェアグループとの関連も見い出せないという、特異なものとなっている。
また標的のプロフィールは、ロシアが背後にいるとされる最近のアクティビティーと整合性があり、ロシアによるウクライナ侵攻直後に展開された破壊的なマルウェア「HermeticWiper」の標的とも重なっている。
MSTICはこのアクティビティーを「DEV-0960」という名称で追跡している。DEVは、今のところ既知の脅威アクターとの関連付けられていないアクティビティーに対して割り当てられるコードだ。このコードは、SolarWindsのサプライチェーン攻撃の背後にいた「Nobelium」のような既知の脅威アクターの行動に結び付けられた時点で統合される。
このグループは、遠隔地からコードを実行したり、高い権限を有する管理者の認証情報を窃取するために、一般公開されているツールを複数用いている。しかしMSTICは、攻撃者がネットワークに対して最初に侵入する際に、どういった手段を用いているのかを把握していない。おそらく攻撃者は、以前に侵入した際に入手していた高い権限の認証情報を使ったと考えられている。いずれにしても、このグループはランサムウェアの展開に先立って、ドメイン管理者レベルのアクセス権を手に入れていた。
Microsoftは、このグループがそれぞれの攻撃の開始後、1時間以内に実行した3つの主な手法を概説している。彼らが単一の行動ではなく、複数の手法を用いている点は、他にあまり例を見ない特徴となっている。
MSTICは「ランサムウェア攻撃を仕掛けるグループのほとんどは、自らのペイロードを展開・実行するための手法一式を確立している。そしてその手法は、標的のセキュリティ設定によって阻止されない限り、標的をまたがって使い回される傾向がある」と説明している。
「DEV-0960というアクティビティーの場合、ランサムウェアを展開するための方法は標的の環境に応じて異なっているが、その理由は同一の方法だとセキュリティ設定によって阻止されてしまうためというわけではないようだ。ランサムウェアの展開がすべて1時間以内に実行された点からすると、これは特筆すべきことだ」(MSTIC)
この記事は海外Red Ventures発の記事を朝日インタラクティブが日本向けに編集したものです。