Mementoランサムウェア、データを暗号化できない場合、パスワードで保護したアーカイブによってファイルをロックし、ビットコインで100万ドルを要求
次世代サイバーセキュリティのグローバルリーダー企業であるソフォス株式会社(東京都港区 代表取締役 中西 智行)は、本日、Pythonで記述されている新しいランサムウェアであるMementoの詳細を公開しました。ソフォスは、 “「パスワードで保護したアーカイブでファイルをロックし、暗号化の保護を回避する新たなランサムウェア攻撃者」 という調査レポートを公開し、その中で、標的システムのデータを暗号化できない場合に、パスワードで保護したアーカイブによってファイルをロックするMementoランサムウェアの攻撃について説明しています。
ソフォスの上級脅威リサーチャーであるSean Gallagherは次のように述べています。「人間が手動で操作する現在のランサムウェア攻撃は、明瞭で単調であることはめったにありません。攻撃者は、攻撃の過程で何かの機会を見つけたり、過ちを犯したりすると、その場で柔軟に戦術を変更します。標的のネットワークに侵入できれば、決して手ぶらで帰ることはありません。Mementoによる攻撃はその代表的な例であり、徹底した防御が必要であるという重要な教訓を与えています。ランサムウェア攻撃や暗号化の試行を検知できる能力も重要ですが、ネットワークへの水平移動など、通常とは異なる活動があった場合にIT管理者に警告できるセキュリティ技術を導入しておくことも重要です」
攻撃の推移
ソフォスの研究者は、Mementoのオペレーターが2021年4月中旬にこの標的のネットワークに侵入したと考えています。攻撃者は、VMware vSphereに存在する欠陥を利用し、サーバーに侵入していました。VMware vSphereは、コンピュータを仮想化してリモートから管理するために使用されるソフトウェアです。ソフォスの研究者がフォレンジック調査を実施したところ、攻撃者が2021年5月初旬に本格的に侵入を開始したことが分かりました。
攻撃者は、侵入してから最初の数ヶ月間は水平移動と偵察を行い、リモートデスクトッププロトコル(RDP)、NMAPネットワークスキャナー、アドバンストポートスキャナー、Plink Secure Shell(SSH)トンネリングツールを使用して、セキュリティを侵害したサーバーとインタラクティブに接続できる環境を確立しました。また、Mimikatzを使用してアカウントの認証情報を取得し、その後の攻撃に利用していました。
ソフォスの研究者は、2021年10月20日に攻撃者が正規のツールであるWinRARを使用して複数のファイルを圧縮し、RDP経由でファイルを外部に送信していることを特定しました。
ランサムウェアの展開
攻撃者は、2021年10月23日にMementoランサムウェアを初めて展開しました。この攻撃者が最初にファイルを直接暗号化しようと試みたものの、セキュリティソリューションによって阻止されました。このため、攻撃者は戦術を変えており、使用するツールを変更し、ランサムウェアを再展開しました。無料版のWinRARを名前を変更して使用し、暗号化されていないファイルをパスワードで保護されたアーカイブにコピーした後、パスワードを暗号化し、元のファイルを削除しました。
攻撃者は、ファイルを復元するために、ビットコインで100万ドルの身代金を要求しました。幸いなことに、攻撃を受けたこの組織は攻撃者から情報を得ることなくデータを復旧できました。
脆弱なアクセスポイントから次々と侵入する攻撃者
Mementoの攻撃者が標的とした組織のネットワークに常駐しているときに、2 人の別の攻撃者が同じ脆弱なアクセスポイントから同様のエクスプロイトを使用して侵入しました。これらの攻撃者はそれぞれ、セキュリティが侵害された同じサーバーにクリプトマイナーを仕掛けています。一方の攻撃者が5月18日にXMRクリプトマイナーをインストールし、もう一方の攻撃者は9月8日と10月3日にXMRigクリプトマイナーをインストールしました。
Gallagherは次のように述べています。「インターネットに接続している製品の脆弱性が見つかった後に、パッチが適用されないままになっていると、多くの攻撃者によってその脆弱性がすぐに悪用されてしまう事例をソフォスは何度も確認しています。脆弱性が放置されている期間が長いほど、より多くの攻撃者を誘因することになります。サイバー犯罪者は、インターネットに接続している脆弱なアクセスポイントを常にスキャンしています。このような侵入口を見つけると、我先にとシステムに侵入してきます。複数の攻撃者に侵入されると、攻撃を受けた組織は大きな混乱を招くことになり、回復するまでの時間も長くなります。また、フォレンジック調査で誰が何を実行したのかを解明し、解決することも難しくなります。脅威を解決する担当者は、このような情報を収集していますが、これはさらなる攻撃を受けないようにするための重要な情報です。
セキュリティのアドバイス
今回のインシデントから、パッチが適用されていないままインターネットに接続しているサーバーが1台でもあると、複数の攻撃者に侵入されて被害が拡大することが分かります。パッチを速やかに適用すること、そしてサードパーティ・インテグレータ、契約している開発者、サービスプロバイダにもソフトウェアのセキュリティについて確認してもらうことの重要性が改めて浮き彫りになったとソフォスは考えています。
ソフォスでは、ランサムウェアなどのサイバー攻撃から自社を保護するために、以下の一般的なベストプラクティスを採用することを推奨しています。
長期的な戦略
- 多層防御を導入する: バックアップは今後も重要であり必要ですが、恐喝型のランサムウェア攻撃も増加していることから、バックアップだけでは十分な対策にはなりません。最初に、攻撃者がネットワークに侵入できないようにすること、また、攻撃者に侵入された場合でも、実質的な被害が生じる前に攻撃をすばやく検知することが、これまで以上に重要です。サイバー犯罪者は組織のあらゆる場所を攻撃しています。これらの多くの場所で攻撃を検出して防御できるように多層防御のアプローチを使用してください。
- 人の専門家とランサムウェア対策テクノロジーを融合させる: ランサムウェアを阻止するには、ランサムウェア対策の専用のテクノロジーと人間主導の脅威ハンティングを組み合わせた防御が鍵となります。これらのテクノロジーにより、大規模で自動化された攻撃を防止できるようになります。一方で、 人間の専門家は、攻撃者による侵入の痕跡を検出・特定する戦術、技術、手順において優れた能力を発揮します。このような高度な攻撃に対応できるスキルが自社にない場合は、サイバーセキュリティの専門家の支援を受けることを検討してください。
日常的な対策
- アラートを監視して対応する: 自社の環境で特定された脅威を監視および調査して、対応するための適切なツール、プロセス、リソース(人材)を確保してください。ランサムウェアの攻撃者は、セキュリティ担当者の監視の目が手薄になることを想定して、週末や休日などのオフピークの時間帯に攻撃を仕掛けることが多くあります。
- 強力なパスワードを設定して適用する: 強度の高いパスワードは、攻撃に対する最初の防衛線となります。複雑なパスワードを作成し、決して使い回すことのないようにしてください。これは、認証情報を保存するパスワードマネージャーを使用すれば複雑なパスワードを簡単に扱うことができます。
- 多要素認証 (MFA) を使用する: 強力なパスワードであっても侵害される恐れがあります。メール、リモート管理ツール、ネットワーク資産などの重要なリソースへのアクセスを保護するためには、どのような形態であっても多要素認証を利用してください。
- 外部からアクセス可能なサービスをロックダウンする: 外部からネットワークスキャンを行い、VNC、RDP、また他のリモートアクセスツールで一般的に使用されるポートを特定してロックダウンします。リモート管理ツールを使用してマシンにアクセスする必要がある場合は、VPNやログイン時にMFAを使用するゼロトラストネットワークアクセスソリューションの内部で、リモート管理ツールを使用します。
- セグメンテーションとゼロトラストを利用する: 重要なサーバーは、異なるVLANに置いて、各サーバー間およびサーバーとワークステーション間を分離し、ゼロトラストのネットワークモデルを確立します。
- 情報やアプリケーションをバックアップしてオフラインで保管する: 最新のバックアップを維持して、いつでも復元できるようにします。バックアップのコピーはオフラインで保管します。
- 資産とアカウントのインベントリを作成する: ネットワークにある不明なデバイス、保護されていないデバイス、パッチが適用されていないデバイスは、リスクを高め、悪意のあるアクティビティを検出できずに見逃してしまう状況を作り出します。接続されているすべてのコンピュートインスタンスについて最新のインベントリを作成しておくことが重要です。ネットワークスキャン、IaaSツール、物理的な確認手段を用いて、ネットワーク上のすべてのデバイスを検出し、インベントリを作成し、保護されていないマシンにはエンドポイントプロテクションソフトウェアをインストールします。
- セキュリティ製品が正しく設定されていることを確認する: 保護機能が適切に設定されていないシステムやデバイスも脆弱です。セキュリティソリューションが適切に設定されていることを確認し、必要に応じてセキュリティポリシーを定期的に検証して、更新することが重要です。新しいセキュリティ機能が、自動的に有効になるとは限りません。タンパープロテクションを無効にしたり、あまりも多くの検出除外対象を作成したりしていると、攻撃を受けやすくなります。
- Active Directory(AD)を監査する: ADにあるすべてのアカウントを定期的に監査し、そのアカウントの目的から見て必要以上の権限が付与されていないことを確認します。退職する社員がいる場合には、そのアカウントを退社と同時に無効にします。
- すべてにパッチを適用する: WindowsなどのOSやソフトウェアを常に最新の状態で利用してください。また、パッチが正しくインストールされているか、インターネットに接続するマシンやドメインコントローラなどの重要なシステムにパッチが適用されているかを再確認してください。
Intercept X のようなソフォスのエンドポイント製品は、ランサムウェアなどの攻撃で発生する操作や挙動を検知し、ユーザーを保護します。複数のファイルを暗号化する操作はCryptoGuard機能によってブロックされます。 Sophos Extended Detection and Response (XDR) のような統合型のEDR(Endpoint Detection and Response)は、Mementoランサムウェア攻撃で見られるようなパスワードで保護されたアーカイブを攻撃者が作成する操作など、悪意のある操作を検出する場合にも役立ちます。
詳細については、 SophosLabs Uncut に掲載されている Mementoランサムウェア の記事を参照してください。.