サイバーセキュリティ・インフラセキュリティ庁(CISA)、FBI、多州情報共有分析センター(MSSA)を含む国際機関のコンソーシアムによる新たな勧告では、2022年以降最も蔓延しているランサムウェアであるLockBitに関連するインシデントの詳細と、緩和策が推奨されています。ハイブリッドワーカーの増加は、さらなる脆弱性を生み出しており、特に中小企業は脆弱です。
ジャンプ先:
- LockBitとは何ですか?
- LockBit のキルチェーンは他の RaaS プレーヤーとどう違うのでしょうか?
- ダークウェブのソール・グッドマン氏:LockBitの行為は偽の合法性だ
- ペイ・トゥ・プレイモデルは参入障壁を下げる
- LockBitのグローバル展開
- データ漏洩サイトに投棄された情報は全体像ではない
- LockBitから身を守る方法
- LockBitキルチェーンにおける他のイベントの緩和策
LockBitとは何ですか?
LockBitは、2020年以降、米国の組織に対して約1,700件の攻撃を行い、9,100万ドルを脅し取ったランサムウェア・アズ・ア・サービス事業であり、2022年には少なくとも576の組織を攻撃する予定だ。同社は顧客に攻撃を開始するためのローコード・インターフェースを提供している。
サイバーセキュリティ勧告では、LockBit攻撃が金融サービス、食品、教育、エネルギー、政府および緊急サービス、医療、製造、運輸の各分野に影響を与えていると指摘されている。
LockBit のキルチェーンは他の RaaS プレーヤーとどう違うのでしょうか?
この勧告では、LockBit のキル チェーンを理解するための基礎として MITRE ATT&CK Matrix for Enterprise フレームワークを使用しており、その運用が他の RaaS 事業者の運用と異なる理由を次のように報告しています。
- 他の RaaS グループが最初に自分たちに支払う一方で、アフィリエイトが最初に身代金の支払いを受け取ってからコア グループに分け前を送ることを許可します。
- オンライン フォーラムで他の RaaS グループを非難します。
- 宣伝効果のあるスタントに取り組みます。
- このランサムウェアには、スキルを必要とせずに使用できるポイント アンド クリック インターフェイスが備わっています。
ダークウェブのソール・グッドマン氏:LockBitの行為は偽の合法性だ
サイバーセキュリティ企業WithSecureは、2023年5月にランサムウェアの専門化に関する調査で、LockBitが使用するRaaSモデルはサービス指向のシステムであり、正規のソフトウェアと同様に、ツール、インフラストラクチャ、運用手順(「プレイブック」)を作成し、これらのツールとサービスへのアクセスを他のグループや個人に販売していると指摘しました。
参照: ツールは進化しているが、サイバー攻撃も同様に進化している、とシスコの調査 (TechRepublic)
インターネット情報会社ドメインツールズの調査・データ担当副社長ショーン・マクニー氏は、ロックビットグループは合法的な活動と同様にソフトウェアを継続的にアップデートしており、ソフトウェアのバグ報奨金プログラムも発表していると語った。
「ランサムウェア・アズ・ア・サービス(RaaS)モデルが進化を続ける中、各グループが自らのサービスへのトップアフィリエイト獲得を競い合っている」と同氏は述べ、LockBitはオンラインフォーラムでの積極的な広告掲載などアフィリエイトネットワークの専門化を通じて攻撃の範囲と幅を広げるよう努めてきたと付け加えた。
LockBitのような事業者は、ランサムウェア業界の混乱を自社の利益に活かすため、新たなビジネスチャンスに迅速に適応し、方向転換を図っています。この傾向は2023年も続くのではないかと懸念しています。
ペイ・トゥ・プレイモデルは参入障壁を下げる
「RaaSシステムは参入障壁を下げ、新規参入者が既存の攻撃者の専門知識から恩恵を受ける一方で、既存の攻撃者が自社のサービスを利用している顧客全員から利益の一部を得ることを可能にする」と、同社の脅威情報アナリストであるスティーブン・ロビンソン氏を含む、WithSecureの論文の著者らは述べている。
「合法的なサービス提供者の場合と同様に、利益の可能性ははるかに高くなります。個人の時間は一度しか販売できませんが、専門知識はサービスとしてパッケージ化されているため、特にコストを増やすことなく繰り返し販売できます」と、WithSecureの論文著者は述べています。
WithSecure のレポートでは、勧告と同様に、LockBit の関連会社がソース グループへのアクセスに料金を支払い、ソース グループが支払われた身代金の一定割合を受け取ると指摘しているが、攻撃者の攻撃方法や手口、標的は大きく異なっている。
LockBitのグローバル展開
米国では昨年、MS-ISAC に報告された州政府および地方自治体のランサムウェア インシデントの 16% を LockBit が占めており、これには地方自治体、公立の高等教育機関、K-12 学校、緊急サービスに対するランサムウェア攻撃が含まれます。
参照:ランサムウェア攻撃が急増(TechRepublic)
サイバーセキュリティ勧告では、昨年4月から今年第1四半期にかけて、オーストラリアで報告されたランサムウェア事件全体の18%をLockBitが占め、昨年カナダで発生したとされるランサムウェア事件の22%を占めていたと指摘している。
WithSecureの2023年5月のランサムウェア調査によると、LockBitのヨーロッパにおける主な被害者には、ドイツの自動車部品メーカーContinental、米国のセキュリティソフトウェア企業Entrust、フランスのテクノロジー企業Thalesが含まれていた。
データ漏洩サイトに投棄された情報は全体像ではない
LockBitは、ランサムウェアを使用する攻撃者がデータベースをロックし、身代金を支払わなければ公開すると脅迫して個人識別情報を盗み出すという二重の恐喝型攻撃を行うため、データ漏洩サイトは、この脅威グループのRaaSエクスプロイトにおいて重要な要素となっています。アドバイザリによると、2023年第1四半期までにLockBitの漏洩サイトで1,653人の被害者が報告されています。
さらに、この勧告では、リークサイトには、恐喝の対象となり、データを復号するための最初の身代金の支払いを拒否した LockBit 被害者の一部しか示されていないため、それらのサイトで明らかにされているのは LockBit 被害者の総数のほんの一部に過ぎないと指摘しています。
「これらの理由から、漏洩サイトはLockBitランサムウェア攻撃がいつ発生したかを示す信頼できる指標ではない」と勧告の作成者は述べ、漏洩サイトへのデータ流出は、その情報を生成したランサムウェア攻撃の数ヶ月後に発生する可能性があると指摘した。
WithSecureは、LockBitが2020年6月に仲間のグループMazeおよびEgregorと「ランサムカルテルコラボレーション」を開始し、漏洩サイトの共有も開始したと指摘した。
LockBitから身を守る方法
この勧告の作成者は、CISAと米国国立標準技術研究所(NIST)が策定した一連の目標に沿った行動を組織が取ることを推奨しています。これらの目標は、最低限の実践と保護策を構成するものです。勧告では、MITRE ATT&CKで定義されたキルチェーン戦術ごとに提案が列挙されており、キルチェーンの最も初期のポイントが最初に記載されています。
この勧告では、キル チェーンの主なイベントとして次の 3 つが指摘されています。
- 初期アクセスでは、サイバー攻撃者がネットワークへの侵入方法を探しています。
- 攻撃者がすべてのデバイスへのアクセスを試みているときの統合と準備。
- 攻撃者がデータを盗んで暗号化し、身代金を要求する可能性があるターゲットへの影響。
初期アクセスの緩和に対処するため、この勧告では、サンドボックス化されたブラウザがホストマシンを悪意のあるコードから隔離することを指摘し、組織がウェブ閲覧から発生するマルウェアからシステムを保護するためにサンドボックス化されたブラウザを使用することを推奨しました。
著者らはまた、パスワードログインを使用するすべてのアカウントに対し、パスワードポリシーの策定と管理に関するNIST標準への準拠を義務付けることを推奨しました。著者らが推奨するその他の初期アクセス緩和策には、以下のものがあります。
- 電子メール ゲートウェイでフィルターを適用して、悪意のある電子メールを除外し、疑わしい IP をブロックします。
- Web アプリ ファイアウォールをインストールします。
- ランサムウェアの拡散を防ぐためにネットワークをセグメント化します。
LockBitキルチェーンにおける他のイベントの緩和策
実行
- 包括的なネットワーク図を作成し、定期的に更新します。
- ネットワーク接続を制御および制限します。
- 拡張された PowerShell ログを有効にします。
- PowerShell インスタンスが最新バージョンに設定され、モジュール、スクリプト ブロック、およびトランスクリプション ログが有効になっていることを確認します。
- 保持期間が少なくとも 180 日である PowerShell Windows イベント ログと PowerShell 操作ログをオンにします。
- 管理者権限を必要とするすべての PsExec 操作に対してユーザー アカウント制御の承認を要求するように Windows レジストリを構成します。
権限昇格
- コマンドラインおよびスクリプトのアクティビティと権限を無効にします。
- Windows システムの資格情報を保護するために、Credential Guard を有効にします。
- OS が Windows Server 2019 および Windows 10 より古い場合は、可能な場合はローカル管理者パスワード ソリューションを実装します。
防御回避
- ローカル セキュリティ ポリシーを適用し、厳格な許可リストを使用してアプリケーションの実行を制御します。
- 承認されたソフトウェア アプリケーションとバイナリのアプリケーション許可リストを作成します。
資格情報アクセス
- セキュリティ ポリシーとファイアウォールを使用して NTLM の使用を制限します。
発見
- ビジネス目的で使用されていないポートを無効にします。
横方向の移動
- Active Directory 制御パスを識別し、その中で最も重要なものを排除します。
- ネットワーク監視ツールを使用して、指定されたランサムウェアの異常なアクティビティと潜在的なトラバーサルを識別、検出、調査します。
指揮統制
- 組織の最も機密性の高い資産専用の信頼ゾーンを作成して、階層化モデルを実装します。
- 組織はゼロトラストアーキテクチャへの移行を検討する必要があります。VPN アクセスは信頼できるネットワークゾーンとは見なされません。
流出
- トランスポート層セキュリティ プロキシを使用して、既知の悪意のあるシステムへの接続をブロックします。
- Web フィルタリングまたはクラウド アクセス セキュリティ ブローカーを使用して、パブリック ファイル共有サービスへのアクセスを制限または監視します。
インパクト
- 機密データや独自のデータおよびサーバーの複数のコピーを、物理的に分離されたセグメント化された安全な場所に維持および保持するためのリカバリ プランを実装します。
- データのオフライン バックアップを維持し、少なくとも毎日または毎週、定期的にバックアップと復元を維持します。
- すべてのバックアップ データが暗号化され、変更不可能であり、組織のデータ インフラストラクチャ全体をカバーしていることを確認します。
