ランサムウェア
ランサムウェアスポットライト:RansomEXX
RansomEXXは、2020年に相次いで発生した攻撃事例で周知され、現在も活動を続けているランサムウェアファミリーです。
RansomEXXは、2020年に相次いで発生した攻撃事例で周知され、現在も活動を続けているランサムウェアファミリーです。本稿では、標的型であることや知名度の高い攻撃対象を選ぶといった活動履歴からこのランサムウェアにスポットライトを当て、その戦術、技術、手順を明らかにします。
RansomEXXは、2018年にDefray777として初めて確認されました。そして2020年、わずか数ヶ月間のうちに政府機関や製造業などへの攻撃に利用され、大きく注目されたランサムウェアファミリーです。当時、そのバイナリに「ransom.exx」という文字列が見つかったことから、RansomEXXと呼ばれるようになりました。また、窃取した情報を暴露するリークサイトも2020年の時点で開始していました。
現在、RansomEXX は 、LockBit や Conti などの他のランサムウェアと同様に活発な活動を続けています。そして他の攻撃グループと同様、RansomEXXの攻撃者もターゲットから窃取した情報を暴露することに何のためらいもないように見えます。時には、政府機関から窃取した情報さえ暴露していました。最近の事例では、2022年3月にスコットランドのメンタルヘルス関連の慈善団体を攻撃し、同団体のボランティアの個人情報やクレジットカード情報までを含む12GB相当のデータを暴露しました。
こうした点から本稿では、RansomEXXがどのような攻撃を実行し、なぜ阻止すべきなのかに関する概要を説明します。また、このランサムウェアの具体的な戦術、ツール、手法に注目し、企業や組織が備えるべきセキュリティ対策について解説します。
/ransomware-spotlight-ransomexx/JP-RS-RansomEXX-Infographic.jpg)
企業や組織が知っておくべきこと
RansomEXXは、サービスとしてのランサムウェア(RaaS)モデルを採用しているランサムウェアファミリーであり、初めて確認されてから一貫して活動しています。現在に至るまで、RansomEXXは、攻撃活動およびリークサイトでの窃取情報の暴露を続けています。以下、それらの特徴について紹介します。
Windows版とLinux版の両方が存在する
2020年後半に発見されたLinux版は、Windows版がLinuxに拡大した初めてのケースとなりました。これにより、最近の亜種は、Linux上で動作している基幹インフラを狙うことが可能になりました。
攻撃グループ「Gold Dupont」が攻撃に利用している
彼らは、2018年から活動を開始しており、RansomEXX(別名:Defray777)、Cobalt Strike、Metasploit、Vatet Loaderなどを駆使して金銭目的のサイバー犯罪活動を展開しています。
トロイの木馬化された正規ツールを使用する
攻撃キャンペーンでは、Gold Dupontによる攻撃手法の典型として、Vatet Loader、PyXie RAT、TrickBotなどのマルウェアの他、標的への侵入後にCobalt Strikeなどのツールも使用します。トロイの木馬化された正規ツールの使用は、最近のランサムウェアの手口としては一般的であり、これにより、検知を回避しながらペイロードをより速く展開することを可能になります。
バイナリ上で標的をハードコード化している
RansomEXXが標的型であることを示す重要な指標の1つは、バイナリ上で標的の名称をハードコード化していることです。このことから、攻撃に際してある程度の準備を費やし、選定した標的のプロファイルに合わせた活動であることが分かります。
これらRansomEXXの特徴とは別に、最近の動きとして興味深いのは、精神医療関連の慈善団体を攻撃したことです。この攻撃の前にも、RansomEXXは、政府機関やブラジルの大手衣料品店など、より大きな企業や組織を標的にしていました。ランサムウェアの攻撃グループは、高額な身代金の支払い能力に基づいてターゲットを選ぶことが知られており、慈善団体への攻撃は、注目すべき点ともいえます。
RansomEXXは、RaaSとしても活動し、さらに攻撃キャンペーン前には事前調査を行い、効率的な攻撃に必要なツールを選択します。例えば、IcedIDやVatet loaderなどのツールを駆使して初期アクセスからわずか5時間でランサムウェアを展開した攻撃も確認されています。以下、トレンドマイクロの検出データ等に基づき、このランサムウェアの攻撃グループが最も頻繁に標的としてきた地域や業界について見ていきます。
影響を受けた主な産業や国
トレンドマイクロのSPNデータから2021年3月31日から2022年3月31日までのRansomEXXの攻撃活動を確認しました。攻撃活動は世界各地で観測されましたが、特に米国で多く検知され、フランス、ブラジル、台湾と続いていました。2021年に台湾の大手ハードウェアメーカーがこのランサムウェアの攻撃を受けた点も特筆されます。
/ransomware-spotlight-ransomexx/JP-Image01.jpg)
業界別では、製造業への攻撃が最も活発であり、教育、銀行の業界がそれに続いています。全体として、サンプル数が少ないことから、その差は比較的小さいといえます。
/ransomware-spotlight-ransomexx/JP-Image02.jpg)
感染フローおよび各種手口
RansomEXXの感染フローは以下のとおりです。ただし、このランサムウェアもRaaSのビジネスモデルを採用しているため、詳細はターゲットや攻撃の各段階の利用者によって異なる可能性があります。
/ransomware-spotlight-ransomexx/JP-Image03.jpg)
初期侵入
RansomEXXは、不正なスパムメールを使用して対象の端末に侵入し、複数のツールや関連するマルウェアを配信した後、最終的にランサムウェアのペイロードを展開することが確認されています。
不正活動の実行および情報送出
攻撃に際しては、さまざまなマルウェアが利用されます。トレンドマイクロでは、IcedID、TrickBot、Cobalt Strike beacons、PyXie RATなど確認しています。これらは、他の攻撃キャンペーンでの利用でも知られています。PyXie RATは、対象の感染端末から情報を窃取する機能を備えています。
水平移動・内容活動
水平移動・内部活動については、複数のサーバーメッセージブロック(SMB)が検知されました。この活動は、VATETローダの配信に利用されていました。
事前調査
他の攻撃キャンペーンと同様、RansomEXXの攻撃の場合も、MimikatzとLaZagneを利用して感染端末から認証情報が窃取されていました。
被害規模
最終的なランサムウェアのペイロードが展開されることで、感染端末内のファイルが確実に暗号化されます。
感染端末のファイルはAES(Advanced Encryption Standard)で暗号化され、AESキーはRSAで暗号化されます。
/ransomware-spotlight-ransomexx/JP-Image04.jpg)
その他の技術的詳細
詳細については、こちらをご参照ください。
MITRE tactics and techniques
詳細については、こちらをご参照ください。
使用したマルウェア、ツール、エクスプロイトの概要
企業や組織のセキュリティ部門は、RansomEXXによる攻撃で使用される以下の不正ツールおよび脆弱性悪用ツールに注意する必要があります。
- 初期侵入
- Malspam
- 不正活動の実行
- IcedID
- TrickBot
- PyXie RAT
- Cobalt Strike beacon
- Vatet Loader
- 事前調査
- Mimikatz
- LaZagne
- 水平移動・内部活動
- SMB
- 被害規模
- RansomEXX
推奨事項
RansomEXXは、現在、連続して確認された攻撃で注目された2020年当時ほど活発ではないようです。しかし、高度な標的型かつ人手によるランサムウェアである点では要注意のランサムウェアであることは変わりありません。メモリベースのテクニック、正規のWindowsツール、侵入後の攻撃活動等の組み合わせが、RansomEXXの成功に大きく寄与しています。
ランサムウェアによる最悪の攻撃キャンペーンを回避するためには、攻撃を最初の段階から阻止することが重要です。企業や組織は、過去のRansomEXXによる攻撃キャンペーンから学び、初期アクセスの手口等に対して警戒する必要があります。特に各ユーザは、マクロの有効化やマクロを有効にするよう促す文書などに注意する必要があります。
/ransomware-spotlight-ransomexx/Picture05.jpg)
このような脅威からシステムを保護するために、企業や組織はセキュリティフレームワークを確立し、ランサムウェアに対する強固な防御を確立するためのリソースを体系的に割り当てることが必要です。
以下、企業や組織が考慮すべきベストプラクティスをいくつか紹介します。
- 監査とインベントリの実施
- 資産とデータの棚卸しを実施する
- 許可された機器、許可されていない機器、ソフトウェアなどを特定する
- イベントログ、インシデントログの監査を実施する
- 設定確認と監視活動の徹底
- ハードウェアおよびソフトウェアの設定管理を確認する
- 管理者権限を付与し、従業員の役割に必要な場合のみアクセスできるようにする
- ネットワークポート、プロトコル、サービスの監視を徹底する
- ファイアウォールやルータなどのネットワークインフラ機器のセキュリティ設定を有効化する
- 正規のアプリケーションのみを実行するソフトウェア許可リストを設定する
- 修正パッチ適用とアップデートの実施
- 定期的な脆弱性診断の実施を徹底する
- OSおよびアプリケーションのパッチ適用または仮想パッチを活用する
- ソフトウェアやアプリケーションの最新バージョンへのアップデートを徹底する
- 防御および復旧に備えた活動の実施
- データ保護、バックアップ、リカバリ対策の実施を徹底する
- 多要素認証を導入する
- 適切なセキュリティソリューションの導入
- サンドボックス解析による不正メールのブロック機能を導入する
- メール、エンドポイント、Web、ネットワークなど、システムのすべてのレイヤーに最新バージョンのセキュリティソリューションを導入する
- システム内の不審なツールの存在など、攻撃の兆候を早期検知する機能を実装する
- AIや機械学習による高度な検知技術を活用する
- セキュリティ関連のトレーニングやテストの徹底
- 従業員に対するセキュリティスキルの定期的な研修と評価を実施する
- レッドチーム演習や侵入テストを実施する
トレンドマイクロのソリューション
企業や組織は、下記のソリューションによる多層的なアプローチのセキュリティ対策を採用することで、社内システムへのさまざまな侵入経路(エンドポイント、メール、ウェブ、ネットワーク)への防御が可能となります。また、不審なコンポーネントや挙動行動を検出も可能となります。
- 「Trend Micro Vision One™」は、多層防御と挙動監視を提供し、ランサムウェアが不可逆的な損害をもたらす前に、不審な挙動やツールを早期にブロックすることが可能です。
- 「Trend Micro Cloud One™ Workload Security」は、脆弱性を悪用する既知および未知の脅威を阻止します。こうした防御は、仮想パッチや機械学習などの技術によって実現されます。
- 「Trend Micro™ Deep Discovery™ Email Inspector」は、カスタムサンドボックスと高度な解析技術により、ランサムウェアの侵入口となるフィッシングメールなどの不正なメールを効果的にブロックします。
- 「Trend Micro Apex One™」は、ファイルレスの脅威やランサムウェアなどの高度な懸念に対して、次世代レベルの自動検知と対応を実現し、エンドポイントの防御を確実なものとします。
感染の痕跡
本記事の感染の痕跡(IOC)は、こちらをご参照ください。なお、これらの指標は、攻撃ごとに異なる場合があります。
参考記事:
• 「Ransomware Spotlight: RansomEXX」
By: Trend Micro Research
翻訳:与那城 務(Core Technology Marketing, Trend Micro™ Research)