米国の医療機関は、「ロイヤル」と呼ばれる新たなサイバー脅威集団の標的となっている可能性がある。米国保健福祉省は今週、この脅威とハッカー集団の戦術を詳述したアナリストノートを発表した。
HHS(保健福祉省)の保健セクターサイバーセキュリティコーディネーションセンター(HC3)からの警告では、2022年9月に初めて医療機関および公衆衛生機関を標的とした複数の攻撃の背後に、比較的新しいグループが関与していると指摘されています。HC3によると、身代金要求額は数百万ドルに達しており、このグループは今後、HPHセクターにとって現実的かつ差し迫った脅威となるでしょう。
報道によると、Royalランサムウェアグループは、金銭目的と思われる、系列組織を持たない組織で、Windowsシステムを標的としてC++で記述された64ビット実行ファイルを配布する。このファイルは、ファイルやフォルダのバックアップコピーをリアルタイムで作成できるMicrosoft Windowsの機能であるボリュームシャドウコピーをすべて削除する。
参照:マカフィーの2023年脅威予測(TechRepublic)
「感染すると、要求される支払額は25万ドルから200万ドル以上に及ぶことが確認されている」とセンターは述べ、ロイヤルはランサムウェア・アズ・ア・サービス戦術を使い始めた他のグループの経験豊かなアクターで構成されていると主張した。
「このグループは、二重の恐喝攻撃のためにデータを盗み出し、機密データも盗み出すと主張している」と報告書は述べており、同グループはネットワークに侵入した後、次のようなよく知られた手口を実行するとも指摘している。
- 侵入と持続のためのコバルトストライク
- 資格情報の収集
- 横方向の移動
王室と脅威アクターDEV-0569のつながり
マイクロソフト セキュリティの先月のレポートでは、Royal ランサムウェアは脅威グループ DEV-0569 によっても配布されていると指摘されています。マイクロソフトによると、このグループは積極的に進化しており、新たな「発見技術、防御回避、さまざまな侵害後のペイロード、およびランサムウェアの容易化の向上」を組み込んでいます。
報告書によると、DEV-0569は「スパムメール、偽のフォーラムページ、ブログコメントに埋め込まれたソフトウェアインストーラーやアップデートを装ったマルウェアダウンローダーに誘導するマルバタイジングやフィッシングリンクを利用している」という。
Microsoft はまた、DEV-0569 が Google 広告でマルバタイジングを使用し、電子メール保護を回避できる組織の連絡フォーラムを利用し、正当に見えるソフトウェア サイトやリポジトリに悪意のあるインストーラ ファイルを配置していると報告しました。
ヘルスケア部門は依然として脆弱
サイバーセキュリティの専門家であり、ニューヨーク大学タンドン工学部のコンピュータサイエンス教授であるジャスティン・カポス氏は、医療・病院セクターはランサムウェア攻撃に対して特に脆弱であると述べています。病院は資金力があり、脅威にさらされる範囲が広く、システムが時代遅れであり、生死に関わる事態を懸念して金銭を支払う意欲が高い傾向があるためです。これらの要因は、医療企業のサイバーセキュリティの現状を嘆くブルッキングス研究所の2021年の報告書にも反映されています。
「一般的に、病院や関連施設が被害に遭うのは、身代金を支払うことが多く、セキュリティが中程度に低く、パッチ適用が容易でないレガシーシステムに支えられているためです」とカポス氏は述べた。「多くの医療システムでは、システムや機器のソフトウェアをアップグレードするとシステム自体が『壊れて』しまい、医療上の緊急事態が発生する可能性があるという懸念があるからです。」
医療分野のサイバーセキュリティに関するもうひとつの問題は、セキュリティのトレーニングを受けた卒業生が給与の高いテクノロジー企業を好むため、人材が不足していることです。
「病院のセキュリティ担当者として優秀な人材を見つけ、採用するのは至難の業です」とカポス氏は語る。「コンピュータサイエンスやサイバーセキュリティの学位を持つ卒業生が、『病院に就職できて本当に嬉しいです』と言うのはあまり聞きません。」
HC3によると、Royalグループの戦術は進化しており、当初はランサムウェア・アズ・ア・サービス(RaaS)提供者のALPHV(別名BlackCat)の暗号化ツールを使用し、その後、独自の暗号化ツールを使ってREADME.TXTにランサムウェアの要求メモを作成し、被害者のプライベート交渉ページへのリンクを記載するようになったという。9月中旬以降、同グループは暗号化ツールで生成した身代金要求メモに「Royal」という名称を使用している。
参照:2022年の脅威の現状:ランサムウェアは依然として企業に大きな打撃を与えている(TechRepublic)
「Royalは比較的新しいランサムウェアであり、マルウェアやその運営者については他のランサムウェアに比べて情報が少ない」とHC3は述べている。「さらに、HPHセクターに影響を与えた過去のRoyalによる侵害では、主に米国の組織が標的とされていたようだ。これらのいずれの事例でも、脅威アクターは被害者から抽出したとされるデータの100%を公開したと主張している。」
さらに広く言えば、HC3 は、ランサムウェアに関連する以下の攻撃ベクトルが引き続き頻繁に発生していると述べています。
- フィッシング
- リモートデスクトッププロトコルの侵害と資格情報の不正使用
- VPNサーバーなどの脆弱性を悪用した侵害
- その他の既知の脆弱性への侵害
組織の物理的な IT を保護するためのベスト プラクティスを学習したい場合は、「IT 物理セキュリティ ポリシー(TechRepublic Premium)」をダウンロードしてください。