米連邦捜査局(FBI)と米サイバーセキュリティ・インフラセキュリティ庁(CISA)、米保健福祉省(HHS)は米国時間10月21日、「Daixin Team」によるヘルスケア事業者に対するランサムウェアやデータ窃取/恐喝といった攻撃が増加しているとして警告を発した。
これらの機関が共同で発表した今回のアドバイザリーは、2022年6月以降に発生している、ヘルスケアおよび公衆衛生(HPH)セクターに対するDaixin Teamのアクティビティーに関するものだ。
Daixin Teamはランサムウェアを用い、電子健康記録(EHR)や診断、画像、イントラネット関連のサービスを担うサーバーを暗号化している。また、個人を特定できる情報(PII)や、患者の医療情報も窃取している。
Daixin Teamはこれまでに、被害者のVPNサーバーに存在するパッチ未適用の脆弱性を悪用するなどして、標的のネットワークへ侵入しているため、今回のアドバイザリーではヘルスケア事業者らに対してVPNサーバーをセキュアにするよう促している。また、確認されている攻撃の中には、多要素認証(MFA)が有効化されていないレガシーVPNサーバーに対して、過去に窃取した認証情報を用いて侵入していたケースもあるという。攻撃者らはこうしたVPNの認証情報を、悪意あるファイルを添付したフィッシングメールによって取得したと考えられている。
そして、攻撃者らはVPNにアクセスした後、SSHやRDPといったリモートプロトコルを使用してシステム間を水平移動し、認証情報ダンピング(Credential Dumping)と「Pass the Hash」(PtH)(窃取したパスワードハッシュを用いてシステム間の水平移動を実行する手法)によって特権アカウントを探し出す。
同アドバイザリーによると、攻撃者らは特権アカウントを使用して「VMware vCenter Server」にアクセスし、侵入した環境内の「VMware ESXi」サーバー群のアカウントパスワードをリセットする。その後、SSHを用いてアクセス可能なESXiサーバー群に接続し、それらのサーバー上にランサムウェアを展開するという。
Daixin Teamは被害者のシステムからデータも窃取しているという。
同アドバイザリーは、勧告している複数の緩和策のうち、VPNサーバーと、リモートアクセス用のソフトウェア、仮想マシン(VM)ソフトウェア、CISAが悪用を把握している既知の脆弱性については優先的にパッチを適用する必要があると記している。また、RDPへのアクセスを制限し、監視下に置くとともに、SSHとTelnet、Winbox、WANに開放されているHTTPについては無効化する、あるいは有効化する際には強力なパスワードと暗号化によってセキュアにしておくよう推奨している。さらに、組織は可能な限り多くのサービスでMFAを採用するべきだとも記している。
FBIの米国インターネット犯罪苦情センター(IC3)のデータによると、16の重要インフラセクターのうち、HPHセクターからのランサムウェア被害報告は25%に上っているという。
また、IC3の「Internet Crime Report 2021」(インターネット犯罪レポート2021年版)によると、ランサムウェアに関する649件の被害報告のうち、148件がHPHセクターからのものだったという。
この記事は海外Red Ventures発の記事を朝日インタラクティブが日本向けに編集したものです。