ランサムウェア
ヘルスケア業界を標的する新たなランサムウェアRhysidaを確認
本稿では、ランサムウェアRhysidaの詳細、その標的や感染フローに関する情報を説明します。
はじめに
2023年8月4日、米国保健福祉省(HHS)のHealth Sector Cybersecurity Coordination Center(HC3)は、2023年5月から活動が確認されている新たなランサムウェア Rhysidaに関する注意喚起を告知しました。トレンドマイクロでは以下の検出名で対応しています。
本稿では、Rhysidaの詳細、標的、トレンドマイクロで確認した感染フローについて現時点で把握している内容を説明します。
ランサムウェアRhysidaの攻撃者について
現在、Rhysidaの攻撃者に関する出身地や所属に関して詳細は把握されていません。HC3の注意喚起によれば、攻撃グループは自らを「サイバーセキュリティチーム」として位置付け、ターゲットとなる企業や組織のネットワークおよびシステム内のセキュリティ上の弱点を見つけることを支援するなどと提案しています。実際、この攻撃グループが最初に登場した際、彼らは、被害を受けた組織のチャットサポートポータルを使用していました。
Rhysidaのターゲットについて
当初、Rhysidaは、教育、公共、製造、テクノロジーなどの業界を標的にしていたものの、最近ではヘルスケアや公衆衛生の組織への攻撃も開始しています。過去5年間、ヘルスケア業界を狙うランサムウェア攻撃は増加傾向を示しており、最近では、2023年8月初旬にカリフォルニア州のヘルスケアシステム「Prospect Medical Holdings」を狙った事例が挙げられるでしょう(本稿執筆の時点でこの事例の攻撃グループも明らかにされていません)。
Trend Micro™ Smart Protection Network™(SPN)のデータからも同様の傾向が確認され、2023年5月から8月までの検出台数を見ると、Rhysidaの攻撃グループは、単一のセクターを狙うだけでなく、複数の業界を対象としていることが分かります。
Rhysidaの攻撃グループは、世界中の企業や組織を対象としており、SPNのデータからも、インドネシア、ドイツ、米国など、さまざまな国で検出が確認されています。
Rhysidaの攻撃活動について
ランサムウェアRhysidaは、通常、フィッシングの手口により、ターゲットの端末に侵入し、その後、Cobalt Strikeを用いて対象のシステム内で水平移動・内部活動が実行されます。
さらにPsExecを実行してPowerShellスクリプトおよびこのランサムウェアのペイロードが展開されることもトレンドマイクロでは確認しています。このPowerShellスクリプト(g.ps1)は、トレンドマイクロの製品では以下の検出名で対応しています。
Trojan.PS1.SILENTKILL.A
そしてこのスクリプトにより、セキュリティソフト関連のプロセスやサービスの終了、シャドウコピーの削除、リモートデスクトッププロトコル(RDP)の設定変更、アクティブディレクトリ(AD)のパスワード変更などが実施されます。
興味深い点は、スクリプト(g.ps1)は、実行中に更新され、最終的にはランサムウェアRhysidaのPowerShellバージョンとなることです。
Rhysidaは、ファイルの暗号化に際して4096ビットのRSAキーとChaCha20を使用します。暗号化が成功すると、拡張子「.rhysida」を付加し、以下のファイル名の脅迫状をドロップします。
CriticalBreachDetected.pdf
この脅迫状は、他のランサムウェアの通常の脅迫状と比べて珍しいものと言えます。他のランサムウェアの場合、ほとんどの脅迫状で明確に身代金が要求されます。他方、Rhysidaの脅迫状は、システムが侵害され、ファイルが暗号化されたことを被害者に通知する「サイバーセキュリティチームからの注意喚起」として提示されます。身代金の要求は、暗号化されたファイルを復元するための「個別キー」を被害者に購入させるという形で実行されます。
ランサムウェアRhysidaが使用するマルウェアおよびツール
- マルウェア: RHYSIDA, SILENTKILL, Cobalt Strike
- ツール: PsExec
Rhysidaによる暗号化動作に関する詳細
現在時点で入手されたRhysidaの検体を解析したところ、このランサムウェアは、LibTomCryptというオープンソースの暗号ライブラリを使用することで、暗号化の動作を実装していることが確認されました。図3は、Rhysidaが暗号化パラメータを初期化する際に従う手順を示しています。
Rhysidaは、キーと初期化ベクトル(IV)の生成のために、LibTomCryptの疑似乱数生成器(PRNG)機能を使用しています。init_prng関数は、図4に示されているように、PRNG機能を初期化するために使用されます。このスクリーンショットは、ランサムウェアがライブラリのChaCha20 PRNG機能をどのように使用するかも示しています。
PRNGが初期化された後、Rhysidaは埋め込まれたRSAキーをインポートし、ファイル暗号化に使用する暗号化アルゴリズムを指定します:
- register_cipher関数を使用して、アルゴリズム(この場合はaes)を使用可能な暗号のテーブルに「登録」します。
- find_cipher関数を使用して、使用されるアルゴリズム(同じくaes)をCIPHERという変数に格納します。
その後、Cipher Hash Construction(CHC)の機能にもaesを登録して指定します。
トレンドマイクロの解析によると、Rhysidaの暗号化動作は以下の手順で実行されます:
- 暗号化のためにファイルの内容を読み取った後、初期化されたPRNGの関数、chacha20_prng_readを使用して、各ファイルに固有のキーとIVを生成します。
- ctr_start関数を使用し、カウンタまたはCTRモードで使用される暗号であるaes(変数CIPHERに格納されている)を初期化します。
- 生成されたキーとIVは、rsa_encrypt_key_ex関数で暗号化されます。
- キーとIVが暗号化されたら、RhysidaはLibTomCryptのctr_encrypt関数を使用してファイルを暗号化します。
残念ながら、各暗号化されたファイルには固有のキーとIVがあり、さらに関連するプライベートキーのコピーを持っているのは攻撃者だけであるため、現在のところ復号化は実行不可能となっています。
Rhysidaやその他のランサムウェアから企業や組織を守るには?
ランサムウェアRhysida、その関連ツール、戦術、手順(TTPs)に関するさらなる詳細についてはまだ調査中ですが、ランサムウェア攻撃に対処するベストプラクティスは、Rhysidaやその他のランサムウェアに対しても変わることはありません。
企業や組織がランサムウェア攻撃からシステムを保護するために実施すべき推奨事項は以下のとおりとなります。
- 資産とデータの目録を作成する
- イベントとインシデントログをレビューする
- ハードウェアとソフトウェアの設定を管理する
- 従業員の役割と責任に関連する場合のみ、管理権限とアクセスを付与する
- ファイアウォールやルータのようなネットワークインフラのデバイスにセキュリティ設定を施行する
- 正当なアプリケーションのみを許可するソフトウェアホワイトリストを確立する
- 定期的な脆弱性評価を実施する
- オペレーティングシステムとアプリケーションへ修正パッチまたは仮想パッチを適用する
- ソフトウェアとアプリケーションに最新バージョンを使用して更新する
- データ保護、バックアップ、復旧プロトコルを統合する
- 多要素認証(MFA)メカニズムを有効にする
- 不正なメールを傍受するためのサンドボックス分析を利用する
- 定期的に従業員向けのセキュリティ教育やトレーニングを実施する
- 正規のアプリケーション悪用を検出できるセキュリティツール(XDRなど)を展開する
侵入の痕跡(Indicators of Compromise、IoC)
侵入の痕跡(IoC)はこちらで確認してください。
MITRE ATT&CK Matrix
詳細については、こちらをご参照ください。
トレンドマイクロのソリューション
Apex One、Deep Security、Cloud One Workload Security、中小企業向けビジネス対策、Deep Discovery Web Inspector、ウイルスバスター™、Cloud Edgeなどのトレンドマイクロのソリューションは、ランサムウェアRhysidaによる攻撃を阻止する上で有効です。
こちらのソリューションは、Rhysidaの攻撃からトレンドマイクロのお客様を保護します:
Trend Micro Vision Oneのハンティングクエリ
Trend Vision Oneをご利用のお客様は、以下のハンティングクエリを使用してシステム内のRhysidaを検索できます:
processCmd:"powershell.exe*\\*$\?.ps1" OR (objectFilePath:"?:*\\??\\psexec.exe" AND processCmd:"*cmd.exe*\\??\\??.bat")
参考記事:
An Overview of the New Rhysida Ransomware Targeting the Healthcare Sector
By: Trend Micro Research
翻訳:与那城 務(Core Technology Marketing, Trend Micro™ Research)