ランサムウェア
ランサムウェア「REvil」、「Clop」、「Conti」に見る多重脅迫の実態
ランサムウェアに襲われた組織は、驚くべき速さで進歩している多重脅迫型の攻撃に悩まされます。こうしたキャンペーンでは一体どのようなことが起こるのでしょうか。これから、多重脅迫型の攻撃を現在活発に繰り広げている3つのランサムウェアファミリについて詳しく検討し、その実態を明らかにしていきたいと思います。
ランサムウェアに襲われた組織は、驚くべき速さで進歩している多重脅迫型の攻撃に悩まされます。こうしたキャンペーンでは一体どのようなことが起こるのでしょうか。これから、多重脅迫型の攻撃を現在活発に繰り広げている3つのランサムウェアファミリについて詳しく検討し、その実態を明らかにしていきたいと思います。
以前からのランサムウェア攻撃の手口では、被害組織のファイルを暗号化して、再びアクセスできるようにする見返りに支払いを要求します。ただし、サイバー犯罪者が約束を守るという保証はありません。ファイルのバックアップを取ってあり、データを元に戻せる場合、被害組織には身代金を払う必要はありませんでした。ところが2019年後半に、Mazeを先駆けとして、情報暴露を質にする二重脅迫が用いられるようになったことで、ランサムウェアの脅迫手法に転機がもたらされました。二重脅迫求とは、身代金を払わないと、ランサムウェアオペレータが窃取した被害者のデータを一般に公開する、というものです。2021年3月時点までに、二重脅迫の手口を用いた35種類のランサムウェアファミリがトレンドマイクロによって確認されており、その数は増える一方です。
その理由は明白です。ファイルにアクセスできなくなるだけでも、標的の組織に身代金を支払わせるよう大きなプレッシャーをかけられる上に、データが一般に公開されるという脅威が加わることで、特に機密情報が危険にさらされるような場合には、標的組織を更なる苦境に陥らせることができるからです。
| AgeLocker | CryLock | Hades | NetWalker | REvil/Sodinokibi |
| Ako/MedusaLocker | DarkSide | LockBit | Pay2Key | Ryuk |
| AlumniLocker | DoppelPaymer | Maze | ProLock | Sekhmet |
| Avaddon | Egregor | Mespinoza/Pysa | RagnarLocker | Snatch |
| Babuk Locker | Ekans | MountLocker/AstroLocker | Ragnarok | SunCrypt |
| Clop | Everest | Nefilim | RansomExx | Thanos |
| Conti | Exx/Defray777 | Nefilim | RanzyLocker/ ThunderX | Xinof |
表1:2019年11月から2021年3月までに二重脅迫手法の使用を確認したランサムウェアファミリのリスト(トレンドマイクロ調べ)
そして今や、二重脅迫ではまだ不十分であるかのように、ランサムウェアオペレータはさまざまな多重脅迫の手法を用いるようになりました。たとえば、分散型サービス拒否(DDoS)攻撃を仕掛けたり、被害組織の顧客と利害関係者を執拗に攻撃したりします。この後の各項では、こうした手法を用いる3つの主要なランサムウェアファミリ、REvil(別名Sodinokibi)、Clop、Contiについて暗号化以外の脅迫手法を分析、考察します。また、これらの脅威がどのように変化を続けていくかについても予測します。この3つのランサムウェアファミリを選んだのは、活発な攻撃と共に新しい手法を用い、大きな企業を狙って、さまざまなレベルで多重脅迫を実行している事例が判明しているからです。注目すべきは、これら3種類のランサムウェアがすべてRaaS(ransomware-as-a-service)を利用して実行されていることです。つまり、協力者を通じて、より容易かつ迅速にランサムウェアが伝播されます。さらに、これら3つは悪名高いランサムウェアファミリの後継であるとも伝えられています。
■ ランサムウェアによる脅迫の各フェーズ
ここで取り上げる3つのランサムウェアファミリが関与するキャンペーンの攻撃フェーズについて詳しく調べる前に、まずはランサムウェアによる脅迫がどのような歴史をたどって発展してきたかを確認しておくべきでしょう。さまざまなキャンペーンで見られるランサムウェアによる脅迫のフェーズは、以下のとおりです。
図1:ランサムウェアによる脅迫の4つのフェーズ
単一脅迫
単一脅迫では、ランサムウェアを展開した後、ファイルを暗号化してアクセスを妨害します。オペレータは、ファイルの暗号化を解除する見返りとして被害組織に支払いを要求します。これはランサムウェアの初期から存在したやり口です。
二重脅迫
二重脅迫では、攻撃者は暗号化のほかにも、データを窃取したり、被害組織のデータを公開すると脅したりします。この手法では、武器化された正規ツールを使用する場合もあります。これらのランサムウェアオペレータは通常、専用のデータリークサイトを所有していますが、盗んだ情報をアンダーグラウンドフォーラムやブログサイトで公開することもあります。
Mazeが、この攻撃に関与した最初のランサムウェアファミリでした。その後継といわれる、2020年に新たに登場したEgregorもこの手法を用いています。なお、Egregorランサムウェアカルテルのメンバーは、トレンドマイクロをはじめとする官民連携の取り組みが功を奏し、最近になって逮捕されました。DarkSideは2020年に登場したもう1つのランサムウェアファミリで、最近注目を浴びた、米国の大手燃料供給業者Colonial Pipelineを狙った攻撃において、やはり二重脅迫の手法を用いていました。
二重脅迫への対処が難しいのは、被害を受けた企業が失われたデータをすべて復元できたとしても、機密情報が公開されるという脅威を拭い去れないことです。これは、あるビデオゲーム開発会社で起きたケースです。この企業はバックアップからデータを復元できましたが、それでもソースコードなどの機密情報が盗まれ、後からBabuk Lockerの関連サイトで公開されてしまいました。
三重脅迫
三重脅迫は、前述の暗号化とデータ露出の脅威にDDoS攻撃を加えるという、単純な常とう手段を用いたものです。これらの攻撃は、サーバまたはネットワークを大量のトラフィックで溢れさせ、運用を停止させて、さらなる混乱を引き起こすものです。
これは、2020年の後半にSunCryptとRagnarLockerのオペレータによって初めて実行されました。そのすぐ後に続いたのがAvaddonです。REvilの攻撃者も、DDoS攻撃を使用した脅迫を試みようとしています。
四重脅迫
前述のフェーズはすべて、主に標的にのみ影響を及ぼすものです。四重脅迫では、ランサムウェアオペレータは被害者の顧客や利害関係者と直接やり取りすることにより、被害者にさらに大きなプレッシャーを与えます。
DarkSideのオペレータは、DDoS攻撃を仕掛け、指定されたコールセンターを通じて顧客と直接やり取りすることで、攻撃の一部に四重脅迫の手法を取り入れました。
Clopの攻撃者もメールを被害組織の顧客に送信して、顧客の個人情報がWebサイトで公開されると脅し、被害組織と連絡を取るように迫っていた事例が判明しています。REvilのオペレータは、被害組織の顧客だけでなくビジネスパートナーやメディアとも、音声がスクランブルされたVoIP通話を通じてやり取りすることを宣告していました。
ランサムウェアファミリによって、実行する脅迫のレベルはさまざまで、第1フェーズのみで終わらせることもあれば、第4フェーズまで実行することもあります。また、これらのレベルの脅迫は必ずしも順を追って実行されるとは限らず、Clopのケースのように、二重脅迫から四重脅迫に直接進むこともあります。
各フェーズについて説明したところで、ここからは問題の3つのランサムウェアファミリ、REvil、Clop、Contiを中心にお話しましょう。ここでは、トレンドマイクロ独自の監視活動と外部の調査により観察および記録された数件の攻撃に基づき、これらのランサムウェアファミリの活動について簡単にまとめておきます。
■ REvil
最初は悪名高いGandCrabの後継とされていたREvilはやがて、そのさらに上を行く二重脅迫などの高度な手法を用いるようになりました。このランサムウェアによる二重脅迫は、攻撃の犠牲になった組織に対し、数百万ドル規模の法外な要求を突きつけています。REvilは2021年6月に明らかになった、世界最大規模の食肉加工業者であるJBSに対するランサムウェア攻撃に使用されました。
脅迫の手法
二重脅迫の場合、REvilは専用のデータリークサイトを用意していますが、同時にアンダーグラウンドフォーラムやブログサイトにもデータを投稿し暴露します。彼らは、DDoS攻撃を仕掛けたり、顧客、ビジネスパートナー、メディアと直接やり取りしたりしようと企んでいるほか、盗んだデータをオークションで売却しようともしています。
攻撃チェーンと戦術
以下の図に、典型的なREvilの攻撃チェーンを示します。
図2:REvilの攻撃チェーン
上記以外に、メール経由で拡散するボット「IcedID」を感染経路として使用する場合も確認しています。これは、実際のメールでの会話を盗み、不正なスパムに転用するキャンペーンとして知られています。このプログラムはさらに、さまざまな目的に使用されるCobalt Strike Beaconをダウンロードし、最終的にはREvilをダウンロードします。その後、セーフブートによって、暗号化の前にシステムをセーフモードで強制的に再起動します。
図3:REvilの攻撃チェーン(亜種)
初期アクセス
REvilは、以下のようなさまざまな初期アクセス手段を備えています。
- スピアフィッシングのリンクや添付ファイルを含む不正なスパムメール
- リモートデスクトッププロトコル(RDP)アクセスまたは有効なアカウント
- 侵害されたWebサイト
- 脆弱性・エクスプロイトの悪用
より標的を絞ったアプローチでは、RDPとPsExecを使用してREvilを拡散し、ネットワークを制御できるようにしてから、ペイロードを展開することもできます。
ダウンロードと実行
REvilは以下の方法でシステムにダウンロードされ、実行されます。
- 不正なスパムメールの添付ファイル(不正マクロ入りOffice文書)実行からのダウンロード
- 改ざんされた正規サイトなどからのWeb閲覧による感染により、直接REvilがダウンロードされる
- バイナリを実行する代わりにPowerShellにより反射型インジェクションによってメモリ中で直接実行する(ファイルレス活動)
- CVE-2019-2725を悪用して、REvilをダウンロードおよび実行するためのCertutil/PowerShellのコードをリモートで実行します。
- CVE-2018-13379、CVE-2019-11510、および有効なアカウントを悪用して、RDPとPsExecの悪用により、不正プログラム対策を無効にするツール、データ窃取ツール、および最終的にREvilをドロップします。
- メール経由のIcedID感染後、Cobalt Strike BeaconをダウンロードしてREvilを展開
横展開(ラテラルムーブメント)、検出、防御回避
- 標的を絞った攻撃では、オペレータはRDPとPsExecを横展開(ラテラルムーブメント)のために使用し、ほかのコンポーネントとランサムウェア自体をドロップして実行します。>
- オペレータは、一般的なツールであるPC HunterとProcess Hackerを悪用し、関連するサービスやプロセスを検出して強制終了することにより、不正プログラム対策ソリューションの無効を行う場合があります
- オペレータは、不正プログラム対策ソリューションをアンインストールするために設計されたカスタムバイナリ「KillAV」を使用し、対策を無効化する場合があります
コマンドアンドコントロール
- REvilは、システム情報を含むレポートをコマンドアンドコントロール(C&C)サーバに送信します。
データ窃取
- REvilはさまざまなデータ窃取ツールをドロップします。
影響
実行後、REvilは以下のようないくつかのステップを実行できます。
- CVE-2018-8453、またはトークン偽装とミューテックスの作成により、特権昇格を試みます。
- JSON構成ファイルを復号して、指示されているルーチンの処理方法(強制終了するプロセス、報告先のC&Cサーバ、使用する拡張機能など)を確認できるようにします。
- 暗号化ルーチンの処理を進めます。
■ Clop
Clop(「Cl0p」と表記される場合もある)は当初、CryptoMixランサムウェアファミリの亜種として知られていました。2020年には流行りの二重脅迫の手口を用いるようになり、Clopのオペレータにより製薬企業のデータが公開されました。それ以降、このランサムウェアによる脅迫行為は次第にエスカレートしていきました。
脅迫の手法
オペレータは標的の組織にメールを送信してプレッシャーをかけ、交渉を開始しようとします。これらのメッセージが無視された場合は、盗んだデータをデータリークサイト「Cl0p^_-Leaks」で公開し、オークションで売却すると脅します。このほかに、Clopランサムウェアのオペレータは、上層経営陣や顧客に対して執拗に脅迫を繰り返すなどの手法を用います。
攻撃チェーンと手法
Clopは攻撃の手法を何度も変更してきました。このランサムウェアの登場当初である2019年には、攻撃者グループTA505によるスピアフィッシングメールでの感染が見られました。これらのメールは、感染率を高めるために可能な限り多くの従業員に送信されていました。
図4:Clopの攻撃チェーン(2019年)
2020年には、TA505はデータを収集して窃取するための唯一のツールとしてSDBotを使用していました。
図5:Clopの攻撃チェーン(2020年初頭)
最近の攻撃者グループは、攻撃の侵入口として、レガシーのファイル転送アプライアンス(FTA)製品に見つかった4つのゼロデイ脆弱性を悪用していました。
図6:Clopの攻撃チェーン(2021年)
初期アクセス
Clopは、以下のいずれかの方法でシステムに侵入できます。
- 標的組織の従業員に送信されるスピアフィッシングメール
- ブルートフォース攻撃によるRDPの侵害
- 既知の脆弱性の悪用
- FTA製品のゼロデイ脆弱性の悪用(CVE-2021-27101、CVE-2021-27102、CVE-2021-27103、CVE-2021-27104)
ダウンロードと検出
Clopは情報収集のために以下のようないくつかのツールを使用します。
- リモートアクセス型トロイの木馬(RAT)「FlawedAmmyy」:情報を収集し、C&Cサーバと通信して、不正プログラムの追加コンポーネントをダウンロードします
- Cobalt Strike(Cobeacon)。追加のハッキングツールとしてダウンロードされます
- SDBotRAT:Clopを展開するための準備のために使用され、ネットワークを調査し、追加の不正プログラムを読み込んで、セキュリティ製品を無効化します
- 侵害されたFTA製品
コマンドアンドコントロール
- TinyMetは、C&Cサーバにリバースシェルを接続するために使用されます。
データ窃取
- ある攻撃では、盗んだデータを窃取するためにWebシェルである「Dewmode」が使用されました。
影響
- ランサムウェアのペイロードは、さまざまなサービスとプロセスを強制終了した後、暗号化ルーチンの処理に進みます。
■ Conti
2021年5月に発覚したアイルランドの保健省に対する攻撃で使用されたContiランサムウェアも、二重脅迫の手法を用いています。一部の攻撃では、Ryukの伝搬に使用されたのと同じやり口でランサムウェアが配布されました(Trickbot、Emotet、BazarLoaderの使用など)。2021年2月に行われた攻撃では、オペレータはファイアウォール製品の脆弱性も悪用しました。本ブログでも、Trend Micro Vision One™のXDR機能によりContiの追跡を行った事例を2022年2月の記事で紹介しています。
脅迫の手法
Contiは二重脅迫の手法を用いています。オペレータは、指定したデータリークサイトで、身代金を払わない被害者から盗んだデータを公開します。Contiに関連して三重脅迫や四重脅迫の手法が確認されたという報告はまだありませんが、さまざまな技術が次々と導入されていることを考えれば、Contiキャンペーンにもこれらの手法が導入される可能性はあるでしょう。
攻撃チェーンと手法
以下に、数件のキャンペーンに基づいたContiの攻撃チェーンを示します。
図7:Contiの攻撃チェーン
Contiのオペレータは、初期アクセスに以下のいずれかの方法を使用できます。
- BazarLoader(別名BazarBackdoor)やCobalt Strikeによる攻撃を仕掛けるためのスピアフィッシングメール
- ファイアウォールの脆弱性CVE-2018-13379およびCVE-2018-13374を悪用した後、Cobalt Strikeを使用してシステム内に足掛かりを構築
ネットワーク検出と認証情報へのアクセス
- オペレータはネットワーク検出を実行して、標的の資産を見つけることができます。Cobalt Strikeもこの目的で使用されます。
- オペレータは、メモリダンプを実行して認証情報を取得し、システムにアクセスすることもできます。トレンドマイクロの調査では、ntdsutilを使用してntds.dit(Active Directoryのデータが保存されるデータベース)のダンプなど、認証情報窃取のためのメモリダンプが試みられた可能性がある事例を確認しています。このデータを使用して、パスワードハッシュをオフラインで取得できます。
横展開(ラテラルムーブメント)と防御回避
- 必要な認証情報とアクセス権を取得した後、オペレータはペイロードのスケジュールタスクをリモートで作成することにより、横展開(ラテラルムーブメント)を実行できます。ペイロードには、Cobalt Strike、KillAVスクリプト、Contiを含めることができます。またオペレータは、スケジュールタスクとバッチファイルを使用して、これらをリモートで実行することもできます。
- 検出を回避するために、オペレータはセキュリティソフトウェアを無効にするKillAVを使用します。
データ窃取
- 標的のシステムを特定して、それらのシステムにアクセスした後、オペレータはクラウドストレージ同期ツールRcloneを使用して、Megaクラウドストレージサービスにファイルをアップロードします。
影響
- オペレータはランサムウェアを展開してファイルを暗号化します。ランサムウェアの配布と実行は、リモートシステム上でスケジュールタスクを作成して実行することによって行われます。
■ ランサムウェア攻撃への対策
オペレータが使用するさまざまな脅迫手法に関しては、ランサムウェアは急速な進化を遂げているかもしれませんが、脅威をまったく阻止できないわけではありません。組織のシステムを保護するには、たとえばCenter of Internet Securityや米国標準技術研究所によって定められたセキュリティフレームワークに従うことができます。これらのフレームワークを遵守することで、リスクレベルが下がり、脆弱性を突いた脅威にさらされる可能性が低くなるなどの利点がもたらされます。フレームワークの具体的な確立された手法に従えば、どこからどのように始めて、どの方法を優先すればよいかがわかるので、計画にかかる時間と労力を節約できます。これらのフレームワークには、予防、緩和、回復に役立つ反復可能な柔軟性のある方法が示されているので、攻撃に対する回復力も高まります。
これらのフレームワークに含まれるベストプラクティスをいくつか紹介しましょう。
監査とインベントリ
- 資産とデータのインベントリを作成します。
- 許可されたデバイスおよびソフトウェアと、無許可のものを特定します。
- イベントとインシデントのログを監査します。
構成と監視
- ハードウェアとソフトウェアの構成を慎重に管理します。
- 従業員の役割に必要不可欠な場合のみ、管理者特権とアクセス権を付与します。
- ネットワークポート、プロトコル、サービスの使用状況を監視します。
- ファイアウォールやルータなどのネットワークインフラストラクチャデバイスに、セキュリティ構成を実装します。
- 不正なアプリケーションが実行されないように、ソフトウェア許可リストを設定します。
パッチと更新
- 定期的に脆弱性評価を実施します。
- オペレーティングシステムとアプリケーションのパッチまたは仮想パッチを実行します。
- ソフトウェアとアプリケーションを最新バージョンに更新します。
保護と回復
- データの保護、バックアップ、リカバリの手段を実施します。
- 多要素認証を実装します。
保護と防御
- サンドボックス分析を実行し、不正なメールを調べてブロックします。
- セキュリティソリューションの最新バージョンを、メール、エンドポイント、Web、ネットワークなど、システムのすべての層で使用します。
- 攻撃の前兆(システムに疑わしいツールが存在するなど)を見つけます。
- AIと機械学習を利用した検出など、高度な検出テクノロジを有効にします。
トレーニングとテスト
- セキュリティスキルの評価とトレーニングを定期的に実施します。
- レッドチーム演習とペネトレーションテストを実施します。
不正なコンポーネントを検出するだけでなく、ネットワーク内の疑わしい挙動を厳重に監視する、システムの複数の層(エンドポイント、メール、Web、ネットワーク)を網羅したセキュリティソリューションが役に立ちます。
■ トレンドマイクロのソリューション
Trend Micro Vision One™は、複数層にわたる保護と挙動の検出が可能で、単一の層から見た限りでは問題ないように見える可能性のある疑わしい挙動を発見できます。これにより、ランサムウェアがシステムに実際に損害を与える前に、早期に検出してブロックできます。
Trend Micro Cloud One™ Workload Securityは、仮想パッチや機械学習などの手法を用いて、脆弱性を悪用する既知の脅威と未知の脅威の方からシステムを防御します。また、グローバルな脅威インテリジェンスの最新情報を活用して、最新のリアルタイム保護を提供します。
ランサムウェアは、フィッシングメールを通じてシステムに侵入することがよくあります。Trend Micro™ Deep Discovery™ Email Inspectorは、カスタムのサンドボックスと高度な分析手法を使用して、ランサムウェアがシステムに侵入する前に効果的にブロックします。
エンドポイントの検査をさらに厳重に行う場合は、Trend Micro Apex One™を使用すれば、より高レベルの自動化された脅威の検出と対応が可能で、ファイルレス攻撃やランサムウェアなどの高度な攻撃に対抗できます。
■ 侵入の痕跡(Indicators of Compromise、IoC)
今回の記事に関する侵入の痕跡は、こちらを参照してください。
参考記事:
- 「Ransomware Double Extortion and Beyond: REvil, Clop, and Conti」
by Trend Micro