~標的となった組織はファイルを三重に暗号化され、3通の身代金メモが送り付けられる~
次世代サイバーセキュリティのグローバルリーダー企業であるソフォス株式会社(東京都港区 代表取締役 中西 智行)は本日、「複数の攻撃者:明確に差し迫った脅威」と題されたSophos X-Opsが発行したアクティブアドバーサリに関するホワイトペーパーの中で、Hive、LockBitおよびBlackCatの3つ有名なランサムウェアグループが同じネットワークを連続で攻撃した事例を報告しました。最初の2回の攻撃は2時間以内に、3回目の攻撃は2週間後に行われました。それぞれのランサムウェアグループが身代金メモを残し、一部のファイルは三重に暗号化されていました。
ソフォスのシニアセキュリティアドバイザーであるJohn Shierは次のように述べています。「1件のランサムウェア攻撃に対処するだけでも十分大変であり、3件の異なる攻撃を受ける影響がどれほど過酷か容易に想像できるでしょう。特に、ネットワークにあるファイルが複数の攻撃者によって三重に暗号化されている場合、復旧は極めて困難になります。予防、検知、対応という包括的なサイバーセキュリティ対策が、あらゆる規模や業種の組織にとって重要になっています。いかなる企業も攻撃と無縁ではありません」
このホワイトペーパーではさらに、複数のサイバー攻撃が同時に発生した他の事例も紹介しています。中には、クリプトマイナー、リモートアクセス型のトロイの木馬(RAT)、ボットなどによる攻撃が発生した事例も報告されています。複数の攻撃者が同一のシステムを標的とした過去の事例では、攻撃は通常、何か月あるいは何年にもわたって行われていました。今回ソフォスのホワイトペーパーで紹介された攻撃は、数日から数週間の短期間に連続して発生しており、中には攻撃が同時に発生したケースもありました。多くの場合、異なる攻撃者が脆弱な同じ侵入口を通じて標的のネットワークにアクセスしていました。
サイバー犯罪組織は競合することが多く、複数の攻撃者が同時に活動することは困難になっています。クリプトマイナーは通常、同じシステムに競合が存在している場合にはそのクリプトマイナーを停止します。また、最近のRATは、ボットを停止する機能を備えていることを頻繁に犯罪フォーラムで強調しています。しかし、3つのランサムウェアグループが関与した今回の攻撃では、最後に登場したBlackCatは、自身の活動の痕跡だけでなく、LockBitとHiveの活動の痕跡も削除しました。また、あるシステムがLockBitランサムウェアに感染した事例では、約3か月後に、Contiとの関係が指摘されているKarakurt Teamのメンバーが、LockBitが作成したバックドアを利用してデータを盗み出し、身代金を要求しました。
Shierは次のように述べています。「全体的に、ランサムウェアグループは表立って敵対しているようには見えません。ソフォスのホワイトペーパーで説明されているように、LockBitは実際、アフィリエイトがLockBitと競合するグループと協力することを明確には禁じていません。ランサムウェアグループ間で協力し合っているという明確な証拠はありませんが、もしこれが事実であれば、競争が激化するサイバー犯罪市場において、攻撃のためのリソースが有限であることを攻撃者が認識した帰結である可能性もあります。あるいは、標的に与えるプレッシャーが大きいほど、つまり攻撃を繰り返し仕掛けるほど、標的が身代金を支払う可能性が高くなると考えている可能性があります。グループの上層部が談合し、一方のグループがデータを暗号化し、もう一方のグループがデータを窃取するというような互恵的な関係について合意に達しているのかもしれません。いずれ、これらのグループは協力関係をさらに強化するのか、それともより競争を激化させるのかを選択しなければならないでしょう。しかし、現在は異なるグループが同じ標的に繰り返し攻撃を行う環境が整っています」
このホワイトペーパーで取り上げられた攻撃では、最初の感染のほとんどは Log4Shell、ProxyLogon、およびProxyShellなどのパッチが適用されていない脆弱性、あるいは構成が不正であり安全が確保されていないRDP(リモートデスクトッププロトコル)サーバーを通じて発生しています。複数の攻撃者が関与した多くの事例では、被害を受けた組織が最初の攻撃を適切に修正することができず、サイバー犯罪に悪用される侵入口が開かれたままになっていました。このような事例では、RDPの全く同じ設定ミスや、RDWebやAnyDeskなどのアプリケーションが、二度目以降の攻撃で侵入口として簡単に悪用されていました。実際、脆弱なRDPやVPNサーバーのリストは、ダークウェブで販売されている商品の中でも、最も人気のある出品物の1つです。
Shierは次のように述べています。「最新のアクティブアドバーサリープレイブックに記載されているように、2021年にソフォスは組織が複数の攻撃を同時に受ける事例を初めて確認し、このような攻撃が拡大する可能性について指摘しました。複数の攻撃者が協力するインシデントの増加はまだ十分な事例に基づいて証明されているわけではありませんが、攻撃が可能なシステムが存在する以上、サイバー犯罪者がこのような攻撃を今後発展させる可能性は十分にあるでしょう。」
同時多発型のサイバー攻撃や、このような攻撃からシステムを保護するための実用的なアドバイスの詳細については、Sophos.comでホワイトペーパー「複数の攻撃者:明確に差し迫った脅威」を参照してください。
その他の参考情報
- Sophos X-Opsのブログをサブスクライブし、TwitterでSophos X-Opsをフォローして、Sophos X-Opsと画期的な脅威リサーチの詳細を確認してください。
- 同一ネットワークを標的とする複数の攻撃者:ソフォスのBlackCatレポートでは、いくつかの攻撃が同時にまたは重複して実施されていること、また、同じサイバー攻撃者によっていくつかの異なる攻撃が2回行われていることが明らかになりました。
- 攻撃者の滞留時間や 新たな戦術、手法、手順(TTP)についての知見をまとめたソフォスの 「アクティブアドバーサリープレイブック2022」
- ヘルスケア、政府機関、教育、などの業界におけるランサムウェアの世界的な拡散状況とその影響についてまとめた「ランサムウェアの現状2022年版」
- 名前別にランサムウェアの詳細を確認できるランサムウェア脅威インテリジェンスセンター