Cisco Talosは、2023年から2024年にかけて最も活発なランサムウェア攻撃グループ14グループを分析し、攻撃チェーンと興味深い戦術、手法、プロトコル(TTP)を明らかにしました。また、ランサムウェア攻撃者が最も悪用している脆弱性も明らかにしました。
ランサムウェア攻撃チェーン:Cisco Talosの研究者が学んだこと
ランサムウェアの攻撃者はほぼ全員、同じ攻撃チェーンを使用します。
ランサムウェア攻撃者にとっての第一歩
脅威アクターにとって最初のステップは、標的の組織へのアクセスを取得することです。この目的を達成するために、ランサムウェア攻撃者は様々な手法を用います。最も一般的な手法の一つは、標的のシステム上でマルウェアを実行する悪意のあるファイルやリンクを含むメールを送信するソーシャルエンジニアリングです。これにより、攻撃者は目的を達成するためにさらに多くのツールやマルウェアを展開できるようになります。この時点で、多要素認証(MFA)の実装が不十分であったり、既に有効な認証情報を所有していたりするなどの理由で、様々な手法を用いて多要素認証をバイパスされる可能性があります。
Talosはまた、インターネットに接続されたシステムをスキャンし、システムへの侵入につながる脆弱性や設定ミスを探すランサムウェアの仲間が増加していると報告しています。パッチ未適用のソフトウェアやレガシーソフトウェアは特にリスクが高くなります。
ランサムウェア攻撃者にとってのステップ2
2つ目のステップは、最初の侵入経路が発見された場合に備えて、システムへの永続性を確保することです。システムへの永続性確保は、通常、Windowsのレジストリキーを変更するか、システム起動時に悪意のあるコードの自動実行を有効にすることで実現されます。永続性確保のために、ローカルアカウント、ドメインアカウント、クラウドアカウントなどが作成される場合もあります。
ランサムウェア攻撃者にとっての第3ステップ
3番目のステップでは、脅威アクターはネットワーク環境をスキャンし、インフラストラクチャの内部構造をより深く理解します。この段階で、身代金に利用できる価値のあるデータが特定されます。ネットワークのあらゆる部分にアクセスするために、攻撃者はネットワークスキャンを可能にするツールに加えて、権限を管理者レベルに昇格させるツールも使用することがよくあります。これらのタスクでよく使用されるツールは、Living Off the Landバイナリ(LOLbins)です。これは、オペレーティングシステムにネイティブな実行ファイルであるため、アラートが発生しにくいためです。
ランサムウェア攻撃者にとってのステップ4
攻撃者は機密データを収集して盗む準備を整えており、多くの場合、ユーティリティ (7-Zip や WinRAR など) を使用してデータを圧縮してから、リモート監視および管理ツール、または LockBit および BlackByte ランサムウェア グループによって作成された StealBit や Exabyte などのよりカスタマイズされたツールなどを使用して、攻撃者が管理するサーバーにデータを流出させます。
ランサムウェア攻撃者にとっての第5段階の可能性
目的がデータの窃取または恐喝であれば、攻撃はこれで完了です。目的がデータの暗号化である場合、攻撃者はランサムウェアを環境内でテストする必要があります。つまり、ランサムウェアの配信メカニズムとC2サーバー間の通信を確認し、その後ランサムウェアを起動してネットワークを暗号化し、被害者に侵入されたことと身代金の支払いを通知する必要があります。
最も悪用される3つの脆弱性
Cisco Talos は、ランサムウェアの脅威アクターによって、公開アプリケーションの 3 つの脆弱性が頻繁に悪用されていると報告しました。
- CVE-2020-1472(別名Zerologon)は、Netlogonリモートプロトコルの脆弱性を悪用し、攻撃者が認証を回避してドメインコントローラーのActive Directory内のコンピュータのパスワードを変更することを可能にします。このエクスプロイトは、認証なしでネットワークにアクセスできるため、ランサムウェア攻撃者に広く利用されています。
- CVE-2018-13379 は、Fortinet FortiOS SSL VPN の脆弱性であり、攻撃者が特別に細工した HTTP パケットを送信することでシステムファイルにアクセスできるようにするパストラバーサルを可能にします。この方法で VPN セッショントークンにアクセスされる可能性があり、これを利用してネットワークへの認証されていないアクセスを取得することができます。
- GoAnywhere MFTの脆弱性であるCVE-2023-0669は、GoAnywhere Managed File Transferソフトウェアを使用する標的のサーバー上で攻撃者が任意のコードを実行できる脆弱性です。これは、Cisco Talosのレポートで報告された最新の脆弱性です。
これらの脆弱性により、ランサムウェアの攻撃者は初期アクセスを取得し、システムを操作して、より悪質なペイロードを実行したり、永続性をインストールしたり、侵害されたネットワーク内で横方向の移動を容易にしたりできるようになります。
ダウンロード: TechRepublic Premium のサイバーセキュリティの利点とベストプラクティス
14のランサムウェアグループの主なTTP
Cisco Talos は、攻撃の規模、顧客への影響、異常な動作に基づいて、最も蔓延している 14 のランサムウェア グループが使用する TTP を観察しました。
TTP に関する重要な調査結果の 1 つは、最も著名なグループの多くが、攻撃チェーンにおける初期の侵害の確立と防御の回避を優先していることを示しています。
ランサムウェアの脅威アクターは、悪意のあるコードを圧縮して難読化し、システムレジストリを改変してエンドポイントまたはサーバーのセキュリティ警告を無効にすることがよくあります。また、ユーザーの特定の回復オプションをブロックすることもあります。
Cisco Talos の研究者は、最も一般的な認証情報アクセス手法は、LSASS メモリの内容をダンプして、メモリに保存されているプレーンテキストのパスワード、ハッシュされたパスワード、または認証トークンを抽出することであると指摘しました。
C2活動におけるもう一つの傾向は、RMMアプリケーションなどの市販ツールの利用です。これらのアプリケーションは一般的に環境から信頼されており、攻撃者が企業ネットワークのトラフィックに紛れ込むことを可能にします。
ランサムウェアの脅威を軽減する方法
まず、すべてのシステムとソフトウェアにパッチとアップデートを適用することが必須です。この継続的なメンテナンスは、エクスプロイトによる侵害のリスクを軽減するために必要です。
厳格なパスワードポリシーと多要素認証(MFA)を導入する必要があります。すべてのユーザーに複雑かつ固有のパスワードを設定し、MFAを強制することで、有効な認証情報を持つ攻撃者であっても標的のネットワークにアクセスできなくなります。
すべてのシステムと環境を強化するためのベストプラクティスを適用する必要があります。攻撃対象領域を減らすため、不要なサービスや機能は無効化する必要があります。また、公開サービスの数を可能な限り制限することで、インターネットへの露出を減らす必要があります。
ネットワークはVLANなどの技術を用いてセグメント化する必要があります。攻撃者による横方向の移動を防ぐため、機密データやシステムは他のネットワークから分離する必要があります。
エンドポイントは、セキュリティ情報およびイベント管理システムによって監視され、エンドポイント検出および応答または拡張検出および応答ツールが導入される必要があります。
開示:私はトレンドマイクロに勤務していますが、この記事で述べられている意見は私自身のものです。
