ランサムウェアの好物:パッチ未適用の脆弱性
サイバーセキュリティの専門家は、ここ数年、ランサムウェアの猛攻撃が加速していることで、厳しい状況に置かれています。2021年の被害額は6兆ドル以上に登ったと予測されていますが、攻撃は衰える気配がなく、むしろ、より巧妙で破壊的なものに進化しているため、攻撃が増加傾向にあるのがわかります。
サイバー犯罪者は、組織が日常的に使用しているソフトウェアの脆弱性を積極的に悪用するようになってきました。
パッチが適用されていない脆弱性とは?
パッチが適用されていない脆弱性は、悪意ある者がネットワークを侵害するための好適な入口です。これは、セキュリティチームが広く使われているソフトウェアの脆弱性にパッチを適用しなかった場合に発生し、それがランサムウェアの攻撃可能領域になります。2021年には、ランサムウェアに関連するCVEの悪用が29%増加したと報告されています。ランサムウェアのギャングたちは、ゼロデイ脆弱性を活用し、組織が特定とパッチ適用に手間取っている古い既知の脆弱性を利用しているのです。驚くべきことに、2021年以前に特定された脆弱性の56%は、悪質な者によって積極的に悪用され続けています。
セキュリティベンダーやソフトウェアベンダーは、絶えず新しい脆弱性をスキャンし、特定し、重要な教育やパッチを提供していますが、ソフトウェアは常に本質的なリスクをはらんでいます。既知の脆弱性やパッチが適用されていないソフトウェアについて、サイバーセキュリティ・チームが継続的に対処しなければならないのは、このためです。
以下は、ランサムウェアグループが世界規模で活用し、悪用した3つの一般的な脆弱性です。このケーススタディでは、Deep Instinctがこれらの高度で強力なゼロデイ脅威を防止し、被害が発生する前に実行を停止できることを示す、顧客からの実際のレポートと当社独自のテストについて詳しく説明しています。
アクセンチュア社
エクスプロイト/ランサムウェアのファミリー:LockBit 2.0
コスト/支払った身代金: 5000万ドルを要求される
攻撃の種類: サプライチェーンと脅迫ランサムウェア攻撃
日付: 2021年7月
詳細: アクセンチュア社は、グローバルIT企業であり、世界50カ国で569,000人の従業員を抱える世界最大級の技術コンサルタント会社です。Lockbitの一味は、2021年7月に同社から6TBを超えるファイルを盗んだと主張しています。LockBitは、大量の脆弱性スキャンに大きく依存し、パッチが適用されていない欠陥や弱点を特定し悪用します。
アクセンチュア社は、身代金を支払わず、影響を受けたシステムはバックアップから復旧したと主張していると報じられています。アクセンチュア社は、調査とシステムのクリーンアップのため、復元に3週間以上かかったと発表しています。身代金の支払いは行われませんでしたが、この攻撃により、ブランドの評判と顧客の信頼が損なわれました。
結論: Deep Instinctがあれば、このランサムウェアの攻撃は最初から最後まで防ぐことができていました。
Lockbit 2.0は、「Stealbit」と呼ばれる悪意のあるコンポーネントを利用して、その脱出機能を促進させています。 サイバー犯罪者が利用する攻撃ベクトルやテクニックの有効性を高めるために、他の技術を採用することは、今回が初めてではありません。
Deep Instinctは、Lockbit 2.0(8月上旬版)のサンプルを入手し、当社の防御ソリューションとの比較テストを実施することができました。当社の脅威チームと調査員は、パッケージをいくつかの断片に分解し、Deep Instinctはサンプル内のすべての攻撃ベクトルを防ぐことができました。また、その後、いくつかの変異・更新されたサンプルを収集することができましたが、Deep Instinctはこれらのゼロデイ攻撃をすべて防ぐことができました。
注:この攻撃の興味深い点の1つは、ランサムウェアが静かに感染拡大させる際に、セキュリティ製品からのデータの収集を防ぐためにあらゆる種類の監視を停止させる機能を持っていたことです。
Kaseya
エクスプロイト/ランサムウェアのファミリー:REvil
コスト/身代金の支払い:7000万ドルを要求される
攻撃の種類 恐喝と情報漏えいの二重のランサムウェア攻撃
日付 2021年7月
詳細:Kaseyaは、主にマネージドサービスプロバイダ (MSP) とITチームが、リモートマネジメント、オートメーション、および顧客へのサポートを提供するために使用するITマネジメントシステムを提供しています。これらのシステムは、ITマネジメント企業にとって非常に価値のあるものですが、侵害された場合には大きな悪影響を及ぼす可能性もあります。親となるサプライチェーンシステム (この場合はKaseya) に感染することで、攻撃者は、数千とは言わないまでも、数百ものシステムにアクセスできるようになります。
この非常に目につきやすい攻撃は、米国の7月4日の連休中に実行され、複数のMSPと1500ものエンドユーザー企業が影響を受けました。
この攻撃に使われた脆弱性は、5年以上前に発見されたものの、パッチが適用されていなかったことが、内部告発により報告されています。Kaseyaはこの脆弱性のパッチを適用中で、すでにクラウドインフラにパッチを適用し始めていたことが分かっており、このことが攻撃者に対して、攻撃の実行を早めさせた可能性があります。また、悪意のあるファイルのサイドロードを支援するために、正規のWindowsアプリケーションが使用されていたことも判明しています。
結果: Deep Instinctは、このゼロデイ脆弱性に対して無防備だった2,000社の顧客、29,000以上のシステムを保護することができました。私たちのプラットフォームの保護下で、すべてのクライアントで感染ゼロであったことが報告されています。
注:ここで非常に重要な違いは、Kaseyaの攻撃の際に当社のクライアントが使用していたDeep Instinctのバージョン(深層学習アルゴリズム)は、8ヶ月以上前に作成されたものであったということです。この8ヶ月間、アップデートを一切行わずにこれらの攻撃を防いでおり、このゼロデイ攻撃を特定し、防ぐためのディープラーニングの威力が浮き彫りになりました。
システムを悪用し、侵入するために使用されたスクリプトは阻止され、ペイロードパッケージは(もし落とせていたとしても)阻止され、攻撃の一部分であろうとも成功しなかったであろうということです。
Kaseya VSAに対するランサムウェア攻撃に関するDeep instinctのスレットリサーチチームの詳細情報は、Deep Instinctのブログ「Kaseya VSAに対するREvilランサムウェア攻撃を解説」に掲載しています。
https://www.deepinstinct.com/ja/blog/deconstructing-the-revil-ransomware-attack-on-kaseya-vsa
VMware
エクスプロイト/ランサムウェアのファミリー:中国ベースのAquatic Panda/NightSky ランサムウェア
コスト/身代金の支払い:Log4J(Log4shell)の脆弱性の一部
攻撃の種類 二重恐喝とデータ漏洩・脅威のランサムウェア攻撃
日付 2022年1月
詳細: VMware の Horizon 製品には、製品内に組み込まれている Apache Tomcat サービスに Log4Shell の脆弱性が存在することが判明しました。ウェブに面したサーバーにこの脆弱性が確認されると、攻撃者はLDAPを使用して、VM blast secure Gatewayサービスにウェブシェルを注入する悪質なJavaファイルを実行します。これにより、脅威者は感染したネットワークにアクセスし、このシステムを起動ポイントとして、さらにターゲットのインフラに侵入し、不正な目的を果たすことができるようになります。
脅威者は当初、VMwareのHorizon製品のみを標的としていましたが、その後、この脆弱性は、vCenter、Carbon Black cloud workload and EDR、vRealizeなど、VMwareの55の製品に影響を及ぼすことが確認されました。VMwareは2022年2月14日にパッチをリリースしましたが、この脆弱性が優先順位付けとパッチ適用を怠った組織にどれだけの期間影響を与え続けるかは未知数です。
結論:Deep Instinctの多層防御は、NightSkyランサムウェアを検出し、実行を阻止することができました。Deep Instinctは、未知の脅威やゼロデイ脅威を含め、世界中のどのレガシーEPPやEDRよりも多くの脅威をより迅速に阻止します。
Deep Instinctで予防ファーストのアプローチを
Deep Instinctの脅威リサーチチームは、上記のランサムウェア攻撃で詳細が判明したすべてのIOCと疑わしいランサムウェアのペイロードおよびパッケージへのアクセスを取得しました。
Deep Instinct Protection Platformが被害者環境のエンドポイントで使用されていれば、Deep Instinctはこれらの攻撃を100%防げていただけでなく、テストしたサンプルの99%以上は、攻撃のかなり前(3~8ヶ月)に作成された古いモデルでも検知できており、導入後してから一切更新をしていなかったDeep Instinctの「D-brain」バージョンでもこれらの攻撃を防げていました。
マルウェア、ランサムウェア、ゼロデイ対策について、より詳しく知りたい方は、こちらからデモをリクエストしてください。