btzgrp
  • フリーランス労働者が2022年に6000万人のアメリカ人に達する
Headlines

米政府機関、インターロックランサムウェア攻撃の急増を警告

05 mins
米政府機関、インターロックランサムウェア攻撃の急増を警告

米政府機関、医療・企業を狙ったインターロックランサムウェア攻撃の急増を警告

出版

アミヌ・アブドゥライの画像

連邦政府機関は、二重の恐喝と高度なソーシャルエンジニアリングを駆使して医療および重要部門を狙う Interlock ランサムウェア攻撃が増加していると警告しています。

オフィスには医師が2人います。

米国の主要4機関は、Interlockランサムウェアによる脅威の増大について、共同でサイバーセキュリティ警報を発令しました。Interlockランサムウェアは、北米および欧州の企業、医療機関、重要インフラ機関を標的として増加しています。連邦捜査局(FBI)、サイバーセキュリティ・インフラセキュリティ庁(CISA)、保健福祉省(HHS)、およびマルチステート情報共有分析センター(MS-ISAC)は、#StopRansomwareイニシアチブの一環として、火曜日にこの警報を発令しました。各機関は、Interlockの急速な進化と、特に医療分野など、影響の大きい分野への注力を強調しました。

勧告によると、Interlockは2024年9月に出現し、それ以来、金銭目的のランサムウェア攻撃キャンペーンを展開している。このグループは、被害者のシステムを暗号化すると同時にデータを窃取する二重の恐喝モデルを採用しており、身代金を支払わない場合は盗んだファイルを公開すると脅迫している。

攻撃グループは最初のメッセージに身代金要求を記載していません。代わりに、被害者には固有のコードが与えられ、Torネットワーク上の.onion URLに誘導され、そこで身代金交渉が行われます。

連邦捜査官は、インターロックの攻撃者は特定の業界を狙うのではなく、機会を狙っていると述べている。しかし、医療機関は頻繁に被害に遭っている。最も有名な被害者としては、オハイオ州に拠点を置く大手医療システムであるケタリング・ヘルスと、フォーチュン500企業に名を連ねる腎臓ケア企業ダヴィータが挙げられる。

インターロックの参入方法

FBIは、Interlockの初期の戦術はランサムウェアグループの中では「珍しい」と述べ、侵害されているものの実際には正当なウェブサイトからのドライブバイダウンロードを例に挙げています。こうしたケースでは、攻撃者は悪意のあるペイロードをGoogle ChromeやMicrosoft Edgeの偽のアップデートに偽装します。

Interlockはソーシャルエンジニアリングの手法も用います。その一つに「ClickFix」があり、これはシステムエラーの修復を装ってユーザーを欺き、悪意のあるコードを実行させます。「FileFix」と呼ばれる亜種は、Windowsのネイティブ要素を利用して、リモートアクセス型トロイの木馬(RAT)などのマルウェアを展開し、セキュリティ検出を回避します。

Interlockはシステムに侵入すると、Interlock RATやNodeSnake RATなどのツールを展開し、制御を維持し、コマンドアンドコントロール(C2)サーバーと通信し、さらなる攻撃を実行します。また、PowerShellスクリプトを使用してcht.exeやklg.dllなどの認証情報窃取マルウェアをダウンロードし、ユーザー名、パスワード、キーストロークを取得します。これらの認証情報は、ネットワークを横断するラテラルムーブメントに利用され、Kerberoastingなどの手法を用いて権限昇格を行う際に利用されます。

クラウド環境からデータを抽出するために、このグループはAzure Storage ExplorerやAzCopyなどの正規ツールを悪用します。Linuxシステムでは、Interlockが、より一般的に見られるVMware ESXiを標的としたランサムウェアのペイロードとは異なる、まれなELF暗号化ベースのFreeBSDを展開していることが確認されています。

インターロック攻撃からの保護

Interlock ランサムウェア攻撃のリスクと影響を軽減するために、連邦政府の勧告では組織に対し、以下の手順を実行するよう強く求めています。

  • 悪意のあるウェブサイトへのアクセスをブロックするためにDNSフィルタリングを実装する
  • 有害なトラフィックをフィルタリングするためにWebアプリケーションファイアウォールを使用する
  • システムとソフトウェアを最新の状態に保ち、パッチを適用する
  • すべてのアカウントに多要素認証(MFA)を適用する
  • ネットワークをセグメント化して脅威を封じ込め、横方向の移動を防ぐ
  • フィッシングやソーシャルエンジニアリングを見分けるための従業員トレーニング
  • 重要なデータの安全でオフラインかつ変更不可能なバックアップを維持する

緩和策の全リストと無料のサイバーセキュリティリソースについては、stopransomware.gov をご覧ください。組織がランサムウェアの被害に遭った場合、または悪意のある活動が疑われる場合は、お近くのFBI支局にご連絡いただくか、FBIのインシデント報告システムを通じてCISA(情報セキュリティ安全局)に報告してください。

カスタマーサポートポータルがどのようにして世界的なデータ漏洩の震源地となったのか、興味がありますか?Dellのデータ漏洩に関するレポート全文とWorld_Leaksの主張をご覧ください

記事をシェア
アミヌ・アブドゥライの画像

アミヌ・アブドゥライ

Aminu Abdullahiは、経験豊富なB2Bテクノロジーおよび金融ライターです。TechRepublic、eWEEK、Enterprise Networking Planet、eSecurity Planet、CIO Insight、Enterprise Storage Forum、IT Business Edge、Webopedia、Software Pundit、Geekflareなど、様々な出版物に寄稿しています。

Tagged:

Related News