ランサムウェア
ランサムウェアスポットライト:Clop
本稿では、活発な攻撃活動で知られるランサムウェアClopの詳細を解説します。このランサムウェア攻撃グループの絶えず変化する戦略に注目し、企業における対策強化について考察します。
はじめに
(最終更新:2023年6月21日) Clop(「Cl0p」とも表記される)は、過去3年間で最も活発なランサムウェアの1つとなっています。グローバル規模で各種業界の著名な企業や組織を狙い、巧妙な多重の脅迫手口を用いて対象を侵害し、結果として2021年11月時点で約5億ドルと見積もられる巨額の身代金を得たと言われています。このランサムウェアグループを解体するための活動として、法執行機関と民間パートナーの5大陸にわたる連合が結成され、2021年6月にはウクライナでClop関連の容疑者6人が逮捕されました。
ウクライナでの逮捕はClopの活動に大きな打撃を与えたかもしれませんが、この攻撃グループの犯罪活動は2021年から2022年にかけても減速することなく続けられました。しかし、2023年のデータは、この攻撃グループの活動が情報窃取や脅迫に転換しているように見える中で、勢いが減速していることを示しています。報道では、ランサムウェアの活動の一部、例えばランサムウェア拡散向けアフィリエイトのサーバのインフラや、不法に取得された暗号資産身代金のロンダリングに使用されたチャンネルがそれぞれ押収されたことなどが理由として言及されています。
企業がパンデミック後にセキュリティ対策の強化に務める中、こういった潜在的な脅威について詳しく知ることは、より積極的なサイバーセキュリティのアプローチを採用する上でも不可欠です。本稿では、悪名高いランサムウェアClopの活動について説明します。
Clopの変遷
ClopはランサムウェアCryptoMixの亜種として進化しました。2019年2月、セキュリティリサーチャーたちは、攻撃グループTA505が大規模なスピアフィッシングメールキャンペーンを開始した際にClopを使用していることを確認しました。Clopは、ロシア語を話す攻撃グループが運営するサービスとしてのランサムウェア(RaaS)でもあります。さらに、このランサムウェアは、検証済みのデジタル署名付きのバイナリを使用しており、それにより、セキュリティ検出を回避できる正規の実行可能ファイルに見えました。
2020年、金銭目的でハッキングを行う攻撃グループFIN11がClopを利用して窃取情報を暴露すると被害者を脅迫した事例が報告されました。FIN11は、Kiteworks(旧称Accellion)のレガシーファイル転送アプライアンス(FTA)のゼロデイ脆弱性を悪用し、被害者のネットワークに侵入し、その後、Clopをペイロードとして配布し、情報窃取を行っていました。また、この攻撃グループが被害者から情報を窃取する際に「DEWMODE」と呼ばれる特定のWebシェルを使用していたことも確認されました。
その他、リサーチャーたちは、FIN11との接点が確認された2つの攻撃グループ、UNCA2546およびUNCA2582も特定しました。これらの攻撃グループは、Kiteworksのユーザに狙って大規模な攻撃を展開していました。
Clopの攻撃者は、2020年4月、製薬会社から窃取した情報を自分たちのリークサイトに公開することで、二重脅迫の手口を初めて実行しました。Clopの専用リークサイトは、被害者のリストをホストしており、そのリストは立ち上げ以来、顕著に増加し続けています。時間とともに、この攻撃グループの脅迫戦術は洗練され、それに伴い、より破壊的になってきました。
2021年11月、SolarWinds Serv-Uの脆弱性を悪用して企業ネットワークに侵入し、Clopランサムウェアをペイロードとして配布する攻撃活動が確認されました。Serv-U Managed File TransferおよびServ-U Secure FTPに存在する脆弱性は、CVE-2021-35211に採番され、悪用されると、特権ユーザによるサーバ上でのリモートコード実行(RCE)が可能となります。
また、シンガポールに本社を置く海洋サービス大手企業もClopの被害に遭いました。2021年11月、Clopが同社のITシステムを侵害して、商業機密情報と従業員データを盗み出したと報告されました。窃取情報には、銀行口座の詳細、給与情報、パスポート、メールアドレス、内部通信などが含まれていました。
Clop活動の概要
ランサムウェアClopは、暗号化したファイルに「.ClOP」(「Clop」の「L」だけを小文字で綴ったもの)という拡張子を追加します。リサーチャーたちは、Clopが個々のコンピュータだけでなく、被害者のネットワーク全体を狙っていることも確認しました。この攻撃手法は、ランサムウェアを感染させる前にActive Directory (AD) サーバをハッキングすることで可能になります。これにより、システムのグループポリシーを確認し、被害側のインシデント対応者がクリーンアップした後も、ランサムウェアはエンドポイントを侵害することができます。
攻撃グループTA505による以前の攻撃では、Clopが大規模なフィッシングキャンペーンの最終ステージに利用されました。この場合、まず対象となる受信者に対して、マクロが有効化された文書(例えばXLSファイルにリダイレクトするHTMLファイル)が添付されたスパムメールが送信されます。この添付ファイルは、Get2という名称のローダ型マルウェアをドロップするために使用され、その後、このマルウェアはSDBOT、FlawedAmmyy、Cobalt Strikeなどのツールをダウンロードしようとします。こうしてシステムへの侵入を果たすと、事前調査や水平移動、内部活動、さらに情報送出を実行することで、最終段階のペイロードであるClopの展開の準備が整います。
そしてClopの攻撃者は、身代金交渉のためにメールを被害組織に送信して脅迫を試みます。この際、メールのメッセージを無視した場合は、暗号化された情報が取り戻せないだけでなく、データリークサイト「Cl0p^_-Leaks」で暴露し、オークションにかけるという脅迫を行います。さらには、これらの情報を利用して経営陣や顧客も攻撃すると脅し、対象の企業へ身代金の支払いを迫る、いわば三重から四重の脅迫手段を実行します。
サイバー犯罪の世界で足場を築いたClopの攻撃グループは、常に変化する戦術、技術、手順(TTPs)を牽引する集団とも見なされています。実際、ファイル共有ツールKiteworks FTAの脆弱性悪用では、2021年第1四半期の平均身代金支払いを大幅に引き上げることに成功していました。セキュリティ企業Covewareの調査によれば、ランサムウェアの身代金の支払い金額平均は大幅に増加しており、現在では平均220,298米ドルまで上昇したと伝えています。これは43%の増加であり、さらに支払い金額全体の中央値に注目すると、49,459米ドルから78,398米ドルに急激に増加しており、60%の上昇となっています。
最近のClopの活動
2023年5月以降、Clopの攻撃グループはMOVEit TransferおよびMOVEit Cloudというファイル転送ソフトウェアの重大なゼロデイ脆弱性(CVE-2023-24362およびCVE-2023-35036)を連続的に悪用してきました。彼らの標的は、さまざまな業界の民間および公共の組織でした。影響を受けた企業は迅速に対策を講じましたが、Clopはこれらの脆弱性を利用して、脆弱なシステムやネットワークに侵入し、機密データを外部に持ち出しました。リサーチャーやアナリストによると、これらの攻撃では暗号化などのランサムウェア活動は確認されませんでした。代わりに、この攻撃グループは脅迫に焦点を当て、被害に遭った組織の機密情報や独自情報を暴露すると脅迫しました。さらに、2023年6月には、CVEの割り当てや修正パッチ適用がまだ行われていないSQLインジェクションの脆弱性についても、このグループによる悪用が指摘されました。
システムや機密情報を人質にとる攻撃の件数は、最近のランサムウェア攻撃グループの中でも減少傾向にあります。しかし、同様の技術やスキルは依然として脆弱なシステムやネットワークを妨害するために使用されており、情報窃取の他、機密情報を保持する企業への脅迫にも利用されています。
検出台数の国別・業界別ランキング
ここでは、Trend Micro™ Smart Protection Network™(SPN)のデータを使用して、Clopの検出台数について確認します。トレンドマイクロの検出結果によると、トルコが94件で最も多くの件数を示し、続いてカナダが80件となっています。残りの検出台数は北アメリカ、南アメリカ、アジア太平洋、ヨーロッパ、中東に広がっています。
他のいくつかのRaaS運用者は、人道的な懸念からヘルスケア業界を標的にしないと主張していますが、トレンドマイクロの検出結果によれば、Clopに関してはそれは事実ではないようです。Clopは攻撃グループの中でもヘルスケア業界をトップ5の標的として選んでいます。検出台数が最も多い業界は銀行で75件であり、その次に小売業が42件続いています。
検出台数の月別推移から明らかなように、2023年5月にClopの攻撃が急増したことがわかります。その時期には245件の検出台数が確認されました。この数値は、前月に記録された検出数よりもかなり高くなっています。弊社の調査結果は、Clopの活動が2023年1月から4月まで着実に実行され、その後5月に著しい増加があったことを示しています。
Clopランサムウェアのリークサイトに基づく対象地域と業界
ここでは、Clopのリークサイトで確認されたデータに基づいて、被害状況を確認します。これらのデータは、Clopによって攻撃され、本稿執筆時点で身代金の要求に応じなかった組織の被害件数を表しています。
トレンドマイクロのオープンソースインテリジェンス(OSINT)およびClopのリークサイトでの調査によると、Clopによる2023年1月から5月までの被害件数は合計111件です。そのうち、64件が北米拠点の組織であり、17件が欧州拠点です。また、アジア、ラテンアメリカ、中東、アフリカの企業も影響を受けていました。
米国での被害件数が最も多く、合計54件が侵害されました。さらに、イギリスとカナダ拠点の企業や組織も被害に遭い、被害件数は10件です。Clopの背後にいる攻撃グループによって狙われた国は、その他にオーストラリア、コロンビア、インド、メキシコなどが含まれます。
Clopの標的とされた組織の大多数は大企業であり、中小企業がそれに続いています。
Clopの被害を受けた企業や組織の業界では、IT、ヘルスケア、金融、専門サービス、小売業が上位を占めています。
感染フローと技術的詳細
最初に攻撃グループTA505が拡散させたClopは、デジタル署名がされ、検証済みのバイナリを使用することで、正規の実行ファイルのように見せる検出回避の工夫が施されていました。この攻撃グループは、標的となる企業や組織の従業員に対して大量のスピアフィッシングメールを送信して感染を広げました。図4は、この場合の感染フローを示しています。
2020年1月、TA505は感染フローを変更し、マルウェアSDBOTを利用して情報を収集し、コマンドアンドコントロール(C&C)サーバへ情報を送信しました。図9は変更された感染フローを示しています。
図10は、攻撃グループFIN11がKiteworksのFTA(ファイル転送アプライアンス)に存在する複数のゼロデイ脆弱性を悪用した場合の感染フローを示しています。この脆弱性を悪用することで、新たにWebシェルDEWMODEがインストールされ、その後、このWebシェルを使用してFTAから情報を外部へ流出させ、Clopをペイロードとして配信しました。
初期侵入
Clopの攻撃者は、確立されたアフィリエイトネットワークを利用して初期侵入を獲得し、企業や組織の従業員に対して大量のスピアフィッシングメールを送信し、感染を試みます。これらの攻撃者は、RDPを悪用してシステムに侵入します。パスワードへの辞書攻撃や既知の脆弱性の悪用など、様々な手法を用いています。以下は、彼らが2021年初頭に利用したKiteworks FTAのゼロデイ攻撃の脆弱性となります。
- CVE-2021-27101 - 細工されたホストヘッダを介したSQLインジェクション
- CVE-2021-27102 - ローカルウェブサービス呼び出しを介したオペレーティングシステムコマンドの実行
- CVE-2021-27103 - 細工されたPOSTリクエストを介したSSRF
- CVE-2021-27104 - 細工されたPOSTリクエストを介したオペレーティングシステムコマンドの実行
Clopの攻撃グループは、SolarWinds Serv-U製品の脆弱性(CVE-2021-35211)を悪用したとことも報告されています。
事前調査
Clopのツールキットには、情報収集のためのさまざまなマルウェアが含まれていました:
- FlawedAmmyyリモートアクセスツール (RAT) は情報を収集し、追加のマルウェアコンポーネントのダウンロードを可能にするためにC&Cサーバとの通信を試みます。
- ADサーバを突破した後、追加のハッキングツールであるCobalt Strikeをダウンロードします。
- 別のRATであるSDBOTは、脆弱性の悪用や取り外し可能なドライブやネットワーク共有への自己複製など、さまざまな方法で感染を広げます。また、ピア・ツー・ピア(P2P)ネットワークを介して共有された場合にも感染を広げることができます。攻撃者は、SDBOTをバックドアとして使用し、侵害されたコンピュータで他のコマンドや機能を実行するために利用します。
水平移動・内部活動、事前調査、検出回避
この段階でClopは、侵害したPCが個人用か企業用を区別するため、端末内のワークグループ情報をスキャンします。もしワークグループがデフォルトの値に設定されている場合、挙動を停止して自己削除します。Active Directory(AD)サーバのドメインが返される場合、企業用の端末として分類されます。その後、ダウンロードされたハッキングツールであるCobalt Strikeを使用して、ADサーバ上のServer Message Block(SMB)の脆弱性の悪用を試みます。Cobalt Strikeは、過去に他のランサムウェアと関連付けられたポストエクスプロイテーションの機能でが知られています。また別のツールであるTinyMetを使用して、リバースシェルとコマンドアンドコントロール(C&C)サーバの間に接続を確立します。その後、ADサーバの管理者アカウントを利用して自身を内部ネットワーク内で拡散させます。さらに、SDBOTはアプリケーションシミングを利用して、攻撃の連続性を維持し、検出を回避します。
情報送出
情報送出では、DEWMODEを使用した攻撃が確認されました。
被害規模
Windowsのさまざまなサービスやプロセスを終了させ、人質にとるファイルの暗号化を実行します。
MITRE tactics and techniques
詳細については、こちらをご参照ください。
使用されるツール、脆弱性悪用、その他マルウェアの概要
企業や組織のセキュリティ部門は、Clopの攻撃で使用されるこちらのマルウェアツールや脆弱性悪用等に注意が必要です。
推奨事項
2021年にウクライナでClopのメンバーが逮捕されたにもかかわらず、当社のランサムウェアの検出結果からは、この攻撃グループはまだ潜在的な脅威であり、いつでも攻撃を仕掛ける可能性があることが示されています。さらに、Clopの攻撃者は定期的に戦術を変更することで知られており、彼らが手口を改善してくる可能性があります。そのため、常に警戒を怠らず、攻撃グループが次の犠牲者を狙って待ち構えていることを認識する必要があります。
同様の脅威からシステムを保護するために、企業や組織はセキュリティ体制を確立し、リソースを適切に割り当てることで、ランサムウェアに対する強固な防御戦略を構築することができます。
企業や組織が検討できるベストプラクティスは、以下のとおりとなります。
- 監査とインベントリの実施
- 資産とデータの棚卸しを実施する
- 許可された機器、許可されていない機器、ソフトウェアなどを特定する
- イベントログ、インシデントログの監査を実施する
- 設定確認と監視活動の徹底
- ハードウェアおよびソフトウェアの設定管理を確認する
- 管理者権限を付与し、従業員の役割に必要な場合のみアクセスできるようにする
- ネットワークポート、プロトコル、サービスの監視を徹底する
- ファイアウォールやルータなどのネットワークインフラ機器のセキュリティ設定を有効化する
- 正規のアプリケーションのみを実行するソフトウェア許可リストを設定する
- 修正パッチ適用とアップデートの実施
- 定期的な脆弱性診断の実施を徹底する
- OSおよびアプリケーションのパッチ適用または仮想パッチを活用する
- ソフトウェアやアプリケーションの最新バージョンへのアップデートを徹底する
- 防御および復旧に備えた活動の実施
- データ保護、バックアップ、リカバリ対策の実施を徹底する
- 多要素認証を導入する
- 適切なセキュリティソリューションの導入
- サンドボックス解析による不正メールのブロック機能を導入する
- メール、エンドポイント、Web、ネットワークなど、システムのすべてのレイヤーに最新バージョンのセキュリティソリューションを導入する
- システム内の不審なツールの存在など、攻撃の兆候を早期検知する機能を実装する
- AIや機械学習による高度な検知技術を活用する
- セキュリティ関連のトレーニングやテストの徹底
- 従業員に対するセキュリティスキルの定期的な研修と評価を実施する
- レッドチーム演習や侵入テストを実施する
トレンドマイクロのソリューション
- 「Trend Micro Vision One™」は、多層防御と挙動監視を提供し、ランサムウェアが不可逆的な損害をもたらす前に、不審な挙動やツールを早期にブロックすることが可能です。
- 「Trend Micro Cloud One™ Workload Security」は、脆弱性を悪用する既知および未知の脅威を阻止します。こうした防御は、仮想パッチや機械学習などの技術によって実現されます。
- 「Trend Micro™ Deep Discovery™ Email Inspector」は、カスタムサンドボックスと高度な解析技術により、ランサムウェアの侵入口となるフィッシングメールなどの不正なメールを効果的にブロックします。
- 「Trend Micro Apex One™」は、ファイルレスの脅威やランサムウェアなどの高度な懸念に対して、次世代レベルの自動検知と対応を実現し、エンドポイントの防御を確実なものとします。
侵入の痕跡(Indicators of Compromise、IoC)
侵入の痕跡(IoC)はこちらで確認してください。
参考記事:
Ransomware Spotlight: Clop
By: Trend Micro Research
翻訳:与那城 務(Core Technology Marketing, Trend Micro™ Research)