ランサムウェア
ランサムウェアスポットライト:Hive
ランサムウェア「Hive」は、2021年に確認された新規のランサムウェアファミリーの1つであり、世界中の企業に深刻な問題をもたらしています。
ランサムウェア「Hive」は、2021年に確認された新規のランサムウェアファミリーの1つであり、世界中の企業に深刻な問題をもたらしています。本稿では、このランサムウェアファミリーを駆使する攻撃グループの活動を確認しながら、企業や組織が講じるべきセキュリティ対策について説明します。
サービスとしてのランサムウェア(RaaS)を展開して活動するランサムウェア攻撃グループの中には、人々に危害を与えないために病院やその他の重要産業を標的とすることはないと主張するケースもあります。一方、2021年にHiveが医療従事者を攻撃したことは、そうした人道的配慮を全く考慮していない攻撃グループが存在することを示しています。Hiveはアメリカのある医療機関の統合システムを攻撃し、2つの州における3つの病院と多くの外来診療所に影響を与えました。また、その3週間後にはミズーリ州の病院もHiveによるランサムウェア攻撃の被害を受けました。Hiveは、2021年6月に発見されて以来、最も活発なランサムウェアファミリーの1つとなっています。この脅威から身を守るためには、攻撃グループが駆使するさまざまな手口のメカニズムについて熟知しておくことが重要です。
Hiveについて企業や組織が知っておくべきこと
2021年8月15日、非営利の統合医療システムに対するHiveの攻撃により、オハイオ州とウエストバージニア州の3つの病院の臨床および財務の運営に深刻な障害が発生しました。この攻撃により、緊急治療室における転院や緊急の外科手術・放射線検査のキャンセルが発生しました。さらにはシステム内のファイルが暗号化され、病院スタッフは紙のカルテの使用を余儀なくされました。この非営利団体は、3つの病院の他にいくつかの外来患者サービス拠点や診療所を運営しており、合わせて3,000人の従業員が働いています。
この攻撃では二重恐喝の手口が使用されました。ファイルの暗号化だけでなく患者の個人情報も窃取し、専用リークサイト「HiveLeaks」に公開すると脅したのです。この攻撃グループは、身代金を支払っていない被害者のリストをTorサイトで共有していました。
こうした事例を受け、FBI(米国連邦捜査局)は2021年8月下旬に警告を発し、Hiveの感染の痕跡(IoC、Indicators of Compromise)および手口(TTPs、Tactics, Techniques, and Procedures)の詳細を発表しました。同警告によると、Hiveは不正な添付ファイルを含むフィッシングメールを使って対象となる端末への初期アクセスを行い、ネットワーク上へ侵入後はRDP(Remote Desktop Protocol)を用いて水平移動・内部移動を展開するとのことです。
サイバー犯罪アンダーグラウンド市場の人々が攻撃の足場を広げようとすることで、新たな手口が展開されています。2021年10月下旬、複数のセキュリティリサーチャーによって、HiveがLinuxとFreeBSDのシステムを暗号化するために特別に開発した新しいツールを備えていることが確認されました。調査では、HiveがLinuxサーバに目を向けた他のランサムウェアオペレーターの1つであると述べています。実際に、他のランサムウェア攻撃グループも同様に独自のLinux向け暗号化ツールを作成していることは周知のとおりです。
企業や組織では、より優れたデバイス管理やリソース利用の最適化を実現するため、徐々に仮想マシンへの移行が進んでいます。しかしこの状況は、仮想マシンを標的としてたった1つのコマンドで複数のサーバを同時に暗号化できる点でRaaSを駆使する攻撃者にとっても格好の標的となってしまいます。一方、あるセキュリティリサーチャーは、マルウェアが明示的なパスに展開された場合、すべてのファイルを完全に暗号化できないことから、HiveのLinux向けツールはまだ完全に機能しないと指摘しています。しかしHiveの攻撃者は、今後もLinux用暗号化ツールを改良し、マルウェアのツールキットを多様化・強化してくることが予想されます。
2022年1月、スイスを拠点とする欧州最大級の自動車ディーラーがHiveの攻撃に見舞われました。この企業の名称は、2022年2月、ランサムウェア攻撃で情報暴露が行われるリークサイトHiveLeaksにも登場していました。2020年の売上高が32億9,000万米ドルと報告された同社のプロフィールからも分かるとおり、こうした著名な企業をターゲットにすることがランサムウェア攻撃における最近の傾向となっています。
どのようなランサムウェアか
Hiveの活動は、彼らのリークサイトHiveLeaksからは想像できないほど盛んです。同リークサイトでは、身代金を決済しなかった被害者のリストのみを公開しているため、この情報からどの企業が(何社程度)身代金を支払うことにしたのかを判断することは困難です。2021年6月に攻撃グループが初めて確認されて以来、Hive関連と見られる攻撃の試みが1日平均3社に及んでいることを示す報告書が発表されました。また、Hiveの攻撃者によるTorサイトの管理パネルから直接情報にアクセスしたセキュリティリサーチャーは、システムが侵害された企業の数は、2021年9月から12月までに355社に達したと言及しています。
さらに、セキュリティリサーチャーたちの調査によると、攻撃グループの創設者は、特にランサムウェアの展開と交渉のプロセスにおいて、できるだけ簡単かつ透明性のあるシステムを導入していることも明らかになっています。また、攻撃グループによるマルウェア作成の所要時間は15分以内であり、身代金支払い要求などの交渉もHiveの管理者を通じて行われ、管理者はアフィリエイト(RaaS利用者)が閲覧可能なチャットウィンドウで被害者にメッセージを伝えることができることも明らかになりました。
その他、アフィリエイトは、Hiveの管理画面において収集された金額、支払った企業のリスト、情報漏えい被害を受けた企業のリストなどを確認できるといいます。
攻撃グループは、このように業務効率と透明性を重視することで、新たなアフィリエイトを獲得しています。このような努力により、攻撃グループがよりいっそう大規模かつ強力な利用者基盤を構築するための環境を整えて、活動の持続可能性を目指していることを示唆しているともいえるでしょう。
注目すべきは、身代金支払い後にHiveの攻撃グループが提供した復号ツールに関して一部の被害企業から苦情があったことです。このツールは適切な機能を備えておらず、仮想マシンのマスターブートレコードが破損して起動不能になったと報じられています。
影響を受けた主な産業や国
ここではHiveによる企業や組織への攻撃に関して、クラウド型セキュリティ技術基盤「Trend Micro™ Smart Protection Network™(以下、SPN)」のデータに基づいて説明します。SPNの検出台数によると、企業や組織に対するHiveの攻撃は、南米で最も多く観測されており、アルゼンチンが最も多く、次いでブラジルとなっています。第3位は米国となり、残りはヨーロッパ、アジア、中東に分散しています。
検出台数が最も多かった業界は、エネルギーで186件、第2位はヘルスケアで125件、第3位は金融で102件となっていました。
検出台数の月別推移を見ると、攻撃のピークは2021年11月の429件であることが分かりました。12月と10月の検出台数もそれぞれ2番目と3番目に多かったことから、Hiveの攻撃グループは2021年第4四半期に最も活発に活動していた様子がうかがえます。
Hiveのリークサイトに基づく対象地域や業界
HiveLeaksに掲載されている情報を調べると、本稿執筆時での身代金の支払いを拒否している被害者の数が把握できます。2021年12月1日から2022年2月28日までの期間中にトレンドマイクロが確認した範囲では、北米での被害件数が45.2%と最も高く、次いで欧州が29%、中南米が12.9%となっています。
Hiveは企業を主に標的にしており、その割合は攻撃対象の約40%と推定されます。被害企業の業界は多岐にわたり、テクノロジーが5社と最も多くなっています。ヘルスケアと運輸の分野では、それぞれ4社の被害が出ています。その他、建設、メディア・エンターテインメント、専門サービス、小売、素材、自動車、アパレル・ファッションといった業界の企業も被害に遭っています。
また、確認した期間の情報を日別の詳細を見ると、平日が最も多く、休日に攻撃が実施された割合は6.5%に過ぎませんでした。
感染フローおよび各種手口
初期侵入
Hiveの攻撃者は、不正な添付ファイルを含むフィッシングメールを介してシステムを侵害します。また、ProxyShell関連の脆弱性悪用の手法と同様のポストエクスプロイトスクリプトを検出したことから、Microsoft Exchangeが侵入経路となる可能性もあります。これらの脆弱性は、CVE-2021-31207、CVE-2021-34473、CVE-2021-34523として特定されています。
不正活動の実行
Hiveは、システムに侵入すると、C&Cとして使用できるCobalt Strikeビーコンの永続化技術を実行し、水平移動・内部活動を画策します。そしてPCHunter、GMER、TrojanSpy.DATASPYなどのハッキングツールのダウンロード・実行するため、システム内のセキュリティ対策製品のアンインストールを開始します。さらなる検出回避のため、これらのツールを使用して他のセキュリティ対策製品をアンインストールします。その他、アンインストールスクリプトやランサムウェアをネットワーク上に横展開する際に用いられるWMIの存在も確認されました。
検出回避、事前調査、クレデンシャルアクセス
トレンドマイクロでは、セキュリティソフトを無効にする際にサービスやプロセスを発見して終了させるツールとして、PCHunterとGMERの存在を確認しました。また、ネットワーク上のマシンの特定やセキュリティ対策製品の存在など、システム内の情報を収集するためのツールとしてTrojanSpy.DATASPYの使用も確認しました。また、別の攻撃では、検出回避に複数のセキュリティソフト製品を終了させるツールとしてKillAVを展開するケースも確認しました。
情報送出
トレンドマイクロの検出からは、7-Zipツールを使用して、窃取した情報をアーカイブした上で送出していることが判明していました。さらに、MEGASync、AnonFiles、SendSpace、uFileなどの匿名ファイル共有サービスを悪用した情報送出も実行しています。
被害規模
ランサムウェア活動としては、実行時にファイル暗号化します。この場合、RTLGenRandom APIに基づいて暗号化に使用するランダムキーを生成し、まずはこれをデバイスのメモリ上に保存します。キーは、その後、暗号化プロセスのカスタム化と見られる動作で使用されます。
キーは、さらにGoLangの実装を介してRSAで暗号化されます。この際、バイナリに埋め込まれた公開鍵のリストを介してRSA暗号化が実現されます。そして暗号化されたドライブ上に「.key.」として保存されます。
その後、生成されたキーは、メモリ上から消去され、暗号化されたキーだけが復号用のコピーとして保持されます。
MITRE tactics and techniques
MITRE tactics and techniquesの詳細については、こちらをご参照ください。
使用したマルウェア、ツール、エクスプロイトの概要
企業や組織のセキュリティ部門は、Hiveの攻撃で通常使用される以下のツールおよび脆弱性悪用の存在に注意する必要があります。
初期侵入
不正な添付ファイル付きのフィッシングメール
以下の脆弱性を悪用する:
- CVE-2021-34473:アクセス制御をバイパスするための Pre-auth path の混乱の脆弱性
- CVE-2021-34523:Exchange PowerShell バックエンドに特権を昇格される脆弱性
- CVE-2021-31207:任意のファイルの書き込みを経由した認証後のリモートコードの実行
不正活動の実行
- PsExec:リモートコンピュータ上でプロセスやコマンドラインを実行するためのサードパーティツール
- WMI:Windowsのシステムコンポーネントにアクセスするための統一された環境を提供する管理機能。水平移動・内容活動時のファイルのリモート実行に使用
- Cobalt Strike
事前調査
- TrojanSpy.DATASPY:システムで実行されているセキュリティソフト関連のプロセスやサービス、ネットワーク内の接続されたマシンの情報を収集するマルウェア
水平移動・内部活動
- PSExec:リモートマシン上でプログラムを実行するためのWindows用コマンドラインユーティリティ
- RDP:RDP接続によりネットワーク上の他のマシンへの活動が可能となる
- BitsAdmin:ダウンロードやアップロードのジョブを作成し、その進捗を監視するために使用するコマンドラインツール
- WMI:Windowsのシステムコンポーネントにアクセスするための統一された環境を提供する管理機能。水平移動・内容活動のためのファイルのリモート実行に使用される
検出回避
- PCHunter:セキュリティツールを無効化するためのサードパーティツール
- GMER:セキュリティツールを無効にするサードパーティツール
- KillAV:セキュリティソフトを終了させるためのツール
情報送出
- 7-Zip:高い圧縮率を誇るファイルアーカイバ
- MEGASync:情報送出に悪用されたサードパーティクラウドストレージツール
- uFile.io:
- ファイルをアップロードし、他のユーザと共有することができる無料のファイルホスティングサイト
- 情報送出に悪用される
- endSpace:情報送のために悪用されたサードパーティのクラウドストレージツール
- AnonFiles:
- 匿名の作業環境を提供するオンラインファイルストレージプロバイダ
- 情報送出に悪用される
推奨事項
Hive は比較的新しいランサムウェアにもかかわらず、現在最も多発し、攻撃的なランサムウェアファミリの1つとしてすでにその名を知られています。攻撃活動の検出状況からは、攻撃グループの体制が強固であることを示しており、このことが新たなアフィリエイトが参加する際のインセンティブとしても機能しています。また、Hiveの攻撃グループ運営者は、常に手口を洗練化・多様化させていることが知られており、企業や組織は、常に警戒を怠らず、このランサムウェアに関する潜在的な脅威について十分な情報を得ることが重要です。企業や組織では、早い段階で強力な防御策を導入することで、こうしたランサムウェアの脅威への対処が可能となります。
これにより、同種の脅威からシステムを保護するため、企業や組織は、ランサムウェアに対する強力な防御戦略を確立する際、体系的にリソースを割り当てるセキュリティフレームワークを確立することができます。
以下、企業や組織が考慮すべきベストプラクティスをいくつか紹介します。
監査とインベントリーの実施
- 資産とデータの棚卸しを実施する
- 許可された機器、許可されていない機器、ソフトウェアなどを特定する
- イベントログ、インシデントログの監査を実施する
設定確認と監視活動の徹底
- ハードウェアおよびソフトウェアの設定管理を確認する
- 管理者権限を付与し、従業員の役割に必要な場合のみアクセスできるようにする
- ネットワークポート、プロトコル、サービスの監視を徹底する
- ファイアウォールやルータなどのネットワークインフラ機器のセキュリティ設定を有効化する
- 正規のアプリケーションのみを実行するソフトウェア許可リストを設定する
修正パッチ適用とアップデートの実施
- 定期的な脆弱性診断の実施を徹底する
- OSおよびアプリケーションのパッチ適用または仮想パッチを活用する
- ソフトウェアやアプリケーションの最新バージョンへのアップデートを徹底する
防御および復旧に備えた活動の実施
- データ保護、バックアップ、リカバリ対策の実施を徹底する
- 多要素認証を導入する
適切なセキュリティソリューションの導入
- サンドボックス解析による不正メールのブロック機能を導入する
- メール、エンドポイント、Web、ネットワークなど、システムのすべてのレイヤーに最新バージョンのセキュリティソリューションを導入する
- システム内の不審なツールの存在など、攻撃の兆候を早期検知する機能を実装する
- AIや機械学習による高度な検知技術を活用する
セキュリティ関連のトレーニングやテストの徹底
- 従業員に対するセキュリティスキルの定期的な研修と評価を実施する
- レッドチーム演習や侵入テストを実施する
トレンドマイクロのソリューション
企業や組織は、下記のソリューションによる多層的なアプローチのセキュリティ対策を採用することで、社内システムへのさまざまな侵入経路(エンドポイント、メール、ウェブ、ネットワーク)への防御が可能となります。また、不審なコンポーネントや挙動行動を検出も可能となります。
- 「Trend Micro Vision One™」は、多層防御と挙動監視を提供し、ランサムウェアが不可逆的な損害をもたらす前に、不審な挙動やツールを早期にブロックすることが可能です。
- 「Trend Micro Cloud One™ Workload Security」は、脆弱性を悪用する既知および未知の脅威を阻止します。こうした防御は、仮想パッチや機械学習などの技術によって実現されます。
- 「Trend Micro™ Deep Discovery™ Email Inspector」は、カスタムサンドボックスと高度な解析技術により、ランサムウェアの侵入口となるフィッシングメールなどの不正なメールを効果的にブロックします。
- 「Trend Micro Apex One™」は、ファイルレスの脅威やランサムウェアなどの高度な懸念に対して、次世代レベルの自動検知と対応を実現し、エンドポイントの防御を確実なものとします。
感染の痕跡
本記事の感染の痕跡(IoC)は、こちらをご参照ください。なお、これらの指標は、攻撃ごとに異なる場合があります。
参考記事:
• 「Ransomware Spotlight: Hive」
By: Trend Micro Research
翻訳:与那城 務(Core Technology Marketing, Trend Micro™ Research)