ランサムウェア
ランサムウェアスポットライト:Cuba
ランサムウェアCubaは、2021年後半に大規模な攻撃が相次いで注目される中、登場してきました。広大なインフラ、巧妙なツール、関連マルウェアで武装されたCubaは、ランサムウェアの中でも重要なプレーヤーと考えられており、さらなる進化を通じて注目され続ける可能性が高いといえます。
はじめに
ランサムウェアCubaは、2021年後半に大規模な攻撃が相次いで注目される中、登場してきました。広大なインフラ、巧妙なツール、関連マルウェアで武装されたCubaは、ランサムウェアの中でも重要なプレーヤーと考えられており、さらなる進化を通じて注目され続ける可能性が高いといえます。
Cubaは、2019年12月に初めて確認され、2021年11月に米国連邦捜査局(FBI)がその活動詳細を示す通知を公表したことで周知されました。2022年12月にFBIと米国サイバーセキュリティ社会基盤安全保障庁(CISA)が発表した共同報告書によると、2022年8月現在、Cubaの攻撃により世界中で100社以上の企業が被害を受け、トータルで1億4,500万米ドル以上の身代金が要求され、6,000万米ドル以上の支払いが発生しているといいます。現代の多くのランサムウェア攻撃と同様、Cubaでも被害者に身代金要求額を支払わせるために、二重恐喝の手口が駆使されています。
Cubaは、2022年を通して活発な活動を続けていました。Cubaの攻撃グループは、欧州の政府機関を標的にするなど、注目を集める攻撃にも多数関与しています。また、継続的に改良され、効率性と有効性を高める機能が追加されてきました。これらの事例や継続的な進化を見ても、今後、Cubaによる攻撃活動は、繰り返される可能性が高いといえるでしょう。
企業や組織が知っておくべきこと
トレンドマイクロは、2022年3月から4月にかけて、ランサムウェアCubaの活動が再び活発化していることを確認しました。その際、バイナリ(特にダウンローダ)の更新を含む新しい亜種が登場し、挙動の効率化、感染端末上での不要な動作の最小化、交渉時の被害者への技術サポート提供などが追加されていました。
2022年8月、セキュリティ企業Palo Alto社セキュリティインテリジェンスチームUnit 42は、Tropical Scorpiusという攻撃グループが、多数の「ツール、戦術、手順(TTP)」を使ってランサムウェアCubaを展開していたという情報を報告しました。これらの報告の中で特筆すべきは、窃取情報のアップロードや実行プロセス一覧の取得など複数の機能を備えた「ROMCOM RAT」と呼ばれる新たなリモートアクセスツール(RAT)の存在が確認された点です。また、「Industrial Spy」と呼ばれる情報漏えい専門のマーケットプレイスが、ランサムウェア活動進出の意向を示した中、今回の攻撃グループと同マーケットプレイスの関連性も判明しました。
モンテネグロ政府は、2022年9月、政府機関10カ所の150台のワークステーションがランサムウェアCubaの攻撃に見舞われたことを明らかにしました。この事例では、実行犯が自らリークサイトを通じて犯行を認め、財務文書、通信文書、口座明細、貸借対照表、税務文書などの機密情報の窃取に成功したと述べています。
2022年10月、ウクライナのコンピュータ緊急対応チーム(CERT-UA)は、戦火に見舞われた同国で、ランサムウェアCubaによる攻撃の注意喚起を実施しました。この攻撃では、ウクライナの軍事サービス組織からの発信に偽装されたフィッシングメールが使用されました。メール内のリンクには、新バージョンのPDF Readerが含まれた不正なWebサイトにリダイレクトされ、その後、不正なファイルがダウンロードされる仕掛けになっていました。この不正なファイルは、ダウンロード後、解凍されると、上述の「ROMCOM」が実行されるようになっていました。
ランサムウェアCubaは、広範なインフラを保持しており、さまざまなツールを武器として駆使しています。その中には、Remote Desktop Protocol(RDP)、Server Message Block(SMB)、PsExecなどのWindows関連のユーティリティも含まれており、さらにCobalt Strike(水平移動や内部活動およびC&C通信に使用される)やMimikatz(認証情報のダンピングに使用される)といった正規ツールも悪用されていました。
また、感染活動に際して複数の脆弱性も悪用されます。例えば、以下のパスに存在するProxyShellおよびProxyLogonの脆弱性の悪用により初期侵入が行われ、さらにAvastドライバの脆弱性の悪用によりセキュリティソフトの機能が無効化されます。
C:\windows\temp\aswArPot.sys
なお、ランサムウェアCubaは、その名前とは裏腹に、ロシア語のキーボードレイアウトもしくはロシア語自体がシステム上で検出されると自身を終了させるという機能も有しており、この点から、ロシアが起源のランサムウェアである可能性が高いといえます。
以下、トレンドマイクロのTrend Micro™ Smart Protection Network™(SPN)や、同ランサムウェアのリークサイトのデータなどから、影響を受けた国や業界について解説します。
影響を受けた産業や国
ここではTrend Micro™ Smart Protection Network™(SPN)から確認された国・地域別のデータをもとに、ランサムウェアCubaの攻撃状況を確認します。なお、SPNのデータは、トレンドマイクロのソリューションからのフィードバックや調査による情報を対象としており、ランサムウェアCubaのリークサイトで確認された被害者すべてを網羅しているわけではありません。
SPNデータによると、ランサムウェアCubaは、複数の地域にまたがって活動し、東欧諸国だけが標的ではなかったようです。検出台数が最も多かった国は、米国とトルコであり、それぞれ全体の26%と21%を占めていました。
一方、業界別のデータによると、ヘルスケア、金融、消費関連分野の企業からの検出台数が最も多く、残りは通信、銀行、製造など、さまざまな業種に分散していることが分かります。全体として、ランサムウェアCubaの標的となった企業は73社でしたが、その大半は、SPNフィードバックの中では業界情報が明記されていませんでした。
Cubaのリークサイトに基づく対象地域別および業種別の分布
ここでは、ランサムウェアCubaの攻撃グループが保持するリークサイトに記録された被害件数を確認します。これらの被害件数は、リークサイトに記載されていたという意味から、本稿執筆時点において、感染被害を受けた一方で、身代金の支払いを拒否している企業を示しています。
トレンドマイクロのオープンソースインテリジェンス(OSINT)調査とリークサイトの情報を合わせると、被害件数は、合計33件に及んでいました。このうち、北米の被害件数は17件、欧州は8件、次いでアジア太平洋地域が4件となっています。件数の規模からすると、この攻撃グループは、一般に考えられているほど大きな成果を挙げていないようにも見えます。適切な技術的ソリューションを導入すれば、このランサムウェアの攻撃や感染を阻止することは十分に可能であるといえるでしょう。
国別の分布を見ると、米国での被害件数が最も多く、残りは他のさまざまな国に分散していることが分かります。
被害件数の業界別分布でも、特定の業種に偏っていない状況が確認できます。ランキングで見ると、ITは10件と最も多く、次いで建設と金融がそれぞれ4件となっています。
被害企業の大半(58%)は中堅企業(従業員201~1000人)であり、次いで従業員1~200人の中小企業(30%)となっていました。大企業の被害件数は4件にとどまり、全体の約12%を占めていました。
感染フローと技術的詳細
ランサムウェアCubaの感染フローは、標的となる企業や攻撃キャンペーンによって異なる可能性があります。一般的な感染フローは、図6のとおりとなります。
初期侵入
・脆弱性ProxyShell(CVE-2021-34473、CVE-2021-34523、CVE-2021-31207)およびProxyLogon(CVE-2021-26855、CVE-2021-26857、CVE-2021-26858、CVE-2021-27065)を悪用してコンポーネント(Termite)をダウンロードし、このコンポーネントを実行することで、他のツール等がダウンロードされます。
・スパム攻撃キャンペーンを介してマルウェア「Hancitor」がランサムウェアCubaをダウンロードするという報告もされていますが、トレンドマイクロの解析では確認されていません。
検出回避
・ロシア語やロシア語のキーボードレイアウトが検出された場合、不正活動を続行せず、自身を終了して削除します。
・セキュリティソフト関連のプロセスを終了させるために他のコンポーネントを使用します。
・KillAVというツールを使ってセキュリティソフト関連のプロセスを終了させ、さらに以下のパスにあるAvastドライバの脆弱性を利用してサービスを終了させます。
C: \windowstemp_aswArPot.sys
事前調査
・実行時に引数「-netscan」が指定された場合、利用可能な接続・共有ネットワーク上のファイルを検出・リストアップして暗号化します。
・実行時の引数「-net」が指定された場合、接続されたリムーバブルドライブ上のファイルを検出・リストアップして暗号化します。
・実行時に引数「-local 」または引数なしが指定された場合、ローカルファイルを検出・リストアップして暗号化します。
・水平移動・内部活動の際には、ネットワークをスキャンするためのツールを使用します。
水平移動・内部活動
・水平移動・内部活動の際、RDP、SMB、PsExecといった多数のツールを使用します。また、Cobeaconを頻繁に使用して、ネットワークスキャンのツールで発見された感染端末上のネットワーク内を移動します。
・通常の内部活動の他、一般公開されているNetSupport RAT、Beacon、Bughatchなどのさまざまなバックドアツールを駆使します。これらはTermiteインメモリドロッパを使用して展開されます。
コマンド&コントロール
・自身の Cobalt Strike ネットワークを使用して、コマンド&コントロール(C&C)サーバとの通信を実行します。また、PROXYHTAを使用してC&Cサーバと通信し、追加のコンポーネントをダウンロードします。
被害規模
・暗号化のアルゴリズムには、SalsaとRSAを組み合わせたものを使用します。さらに、その暗号化の実装にはLibTomCryptを採用しています。
・Salsa20を使用してファイルを暗号化し、その上でRSAを利用してSalsaキーを暗号化します。これにより、暗号化されたファイルの復号を阻止します。
・ファイルマーカーFIDEL.CAをチェックすることで、対象のファイルがすでに暗号化されているかどうかを判断します。もし暗号化されていない場合は、ファイルマーカーおよび暗号化されたSalsa Keyを接頭箇所に配置します。
・暗号化された後、ファイル名を変更し、拡張子「.cuba」を追加し、以下のような身代金要求の脅迫状を表示させます。
MITRE tactics and techniques
詳細については、こちらをご参照ください。
使用されるツール、脆弱性悪用、その他マルウェアの概要
企業や組織のセキュリティ部門は、ランサムウェアCubaの攻撃で通常使用される以下の不正ツールや脆弱性悪用ツールに注意する必要があります。
- 不正ツール(マルウェア)
- Bughatch
- Burntcigar
- Cobeacon
- Colddraw
- Hancitor (Chanitor)
- Termite
- Wedgecut
- 脆弱性または脆弱性悪用ツール
- Mimikatz
- PowerShell
- ProxyLogon
- ProxyShell
- PsExec
- Remote Desktop Protocol
さらにCubaの攻撃で使用されるこちらのツールに注意する必要があります。
推奨事項
2021年末から2022年にかけて確認された活発な活動状況を考えると、今後、ランサムウェアCubaは、さらに増加することが予想されます。知名度の高い標的を狙う攻撃の場合も、大物を狙うことに躊躇がない傾向が示されており、また、広範なインフラや、日常的に他のマルウェアやツールを多用している点などからも、攻撃グループが専門性の高い技術知識を有していることが分かります。Cubaは、まだ他のランサムウェアに比べて知名度が低いようですが、これからの展開を最小限に抑えるためにも、このランサムウェアに注目しておくことは不可欠といえます。
ランサムウェアCubaやその他の類似の脅威からシステムを保護するため、企業や組織は、ランサムウェア全般に対する強力な防御戦略を確立し、体系的なリソースを割り当てるセキュリティフレームワークを導入することができます。
ここでは、ランサムウェアCubaの感染から組織を守るために考慮すべきベストプラクティスを紹介します。
- 監査とインベントリの実施
- 資産とデータの棚卸しを実施する
- 許可された機器、許可されていない機器、ソフトウェアなどを特定する
- イベントログ、インシデントログの監査を実施する
- 設定確認と監視活動の徹底
- ハードウェアおよびソフトウェアの設定管理を確認する
- 管理者権限を付与し、従業員の役割に必要な場合のみアクセスできるようにする
- ネットワークポート、プロトコル、サービスの監視を徹底する
- ファイアウォールやルータなどのネットワークインフラ機器のセキュリティ設定を有効化する
- 正規のアプリケーションのみを実行するソフトウェア許可リストを設定する
- 修正パッチ適用とアップデートの実施
- 定期的な脆弱性診断の実施を徹底する
- OSおよびアプリケーションのパッチ適用または仮想パッチを活用する
- ソフトウェアやアプリケーションの最新バージョンへのアップデートを徹底する
- 防御および復旧に備えた活動の実施
- データ保護、バックアップ、リカバリ対策の実施を徹底する
- 多要素認証を導入する
- 適切なセキュリティソリューションの導入
- サンドボックス解析による不正メールのブロック機能を導入する
- メール、エンドポイント、Web、ネットワークなど、システムのすべてのレイヤーに最新バージョンのセキュリティソリューションを導入する
- システム内の不審なツールの存在など、攻撃の兆候を早期検知する機能を実装する
- AIや機械学習による高度な検知技術を活用する
- セキュリティ関連のトレーニングやテストの徹底
- 従業員に対するセキュリティスキルの定期的な研修と評価を実施する
- レッドチーム演習や侵入テストを実施する
トレンドマイクロのソリューション
- 「Trend Micro Vision One™」は、多層防御と挙動監視を提供し、ランサムウェアが不可逆的な損害をもたらす前に、不審な挙動やツールを早期にブロックすることが可能です。
- 「Trend Micro Cloud One™ Workload Security」は、脆弱性を悪用する既知および未知の脅威を阻止します。こうした防御は、仮想パッチや機械学習などの技術によって実現されます。
- 「Trend Micro™ Deep Discovery™ Email Inspector」は、カスタムサンドボックスと高度な解析技術により、ランサムウェアの侵入口となるフィッシングメールなどの不正なメールを効果的にブロックします。
- 「Trend Micro Apex One™」は、ファイルレスの脅威やランサムウェアなどの高度な懸念に対して、次世代レベルの自動検知と対応を実現し、エンドポイントの防御を確実なものとします。
侵入の痕跡(Indicators of Compromise、IoC)
侵入の痕跡(IoC)はこちらで確認してください。
参考記事:
Ransomware Spotlight: Cuba
By: Trend Micro Research
翻訳:与那城 務(Core Technology Marketing, Trend Micro™ Research)