ランサムウェア
ランサムウェアスポットライト - Rhysida
ランサムウェアRhysidaの攻撃グループは、被害者のネットワークやシステムのセキュリティ上の弱点を特定するサポートを提供すると偽って、複数の業界をターゲットにしています。
ランサムウェアRhysidaの攻撃グループは、被害者のネットワークやシステムのセキュリティ上の弱点を特定するサポートを提供すると偽って、複数の業界をターゲットにしています。この攻撃グループの活動は2023年5月に初めて確認されましたが、そのリークサイトは2023年3月の時点ですでに設立されていました。他の多くのランサムウェア攻撃グループと同じく、情報暴露の脅しとビットコインでの身代金要求による二重恐喝の手法を用いています。
企業や組織が知っておくべきこと
金銭的な利益を目的としたランサムウェアRhysidaの攻撃者は、初期侵入のためにフィッシング攻撃を利用し、その後、感染端末内で水平移動・内部活動を行うためにCobalt Strikeを使用していることが知られています。2023年7月、トレンドマイクロのテレメトリーデータによると、PsExecを利用してセキュリティソフトのプログラムを停止させるスクリプト「SILENTKILL」として検出されるRhysidaが確認されました。
同年8月には、PowerShellを使用するRhysidaもトレンドマイクロのテレメトリーによって検出されました。注目すべきは、このPowerShell版ランサムウェアは、実行のためのコマンドライン引数が含まれていない点です。同月、米国の保健機関Health Sector Cybersecurity Coordination Center(HC3)は、Rhysidaがヘルスケア業界をターゲットにしており、既に複数の医療機関や病院が被害を受けているとする注意喚起を行いました。
同様に、米国のCybersecurity and Infrastructure Security Agency(CISA)は2023年11月、Rhysidaに関する注意喚起を出し、Rhysidaを利用している攻撃グループの戦術、技術、手順(TTP)が、同じくRhysidaを利用していることが確認されているVice Societyという別の攻撃グループのものと類似している点も指摘しました。そして同月中には、Linuxを狙うRhysidaも確認されました。
また同月の初めには、韓国の国民大学(Kookmin University)の研究者たちが、Rhysidaのコードにおける実装上の脆弱性を発見し、それに関する技術論文を発表しました。さらに、Rhysidaの復号を自動化するツールが韓国のKorea Internet and Security Agency(KISA)のウェブサイトで公開されています。
検出台数の国別・業界別ランキング
このセクションでは、トレンドマイクロリサーチのテレメトリーデータが提供する検出データをもとに、Rhysidaによる企業や組織への侵入試行について解説します。Rhysidaの活動は2023年5月に初めて確認されましたが、ここで紹介する検出データは、2023年1月から2024年1月までの期間に収集された同社センサーのフィードバック情報に基づいています。この期間、Rhysidaによる攻撃試行は徐々に増加し、2023年12月に最高点に達した後、翌月には大幅に減少しました。
Rhysida攻撃の検出台数を国別にみると、ヨルダンが全体の24.5%で最も多く、次いで米国(16%)、インドネシア(11.7%)と続きます。この活動期間中にRhysidaの標的となった国は、さらに台湾とシンガポールをわせてトップ5となります。
検出データを業界別に見ると、Rhysidaの攻撃者は、特に多くのヘルスケアの機関を狙っていることが明らかになりました。この業界の割合が検出台数全体の4.3%を占めています。さらに、製造や金融の企業もターゲットにしています。
ランサムウェアRhysida のリークサイトに基づく対象地域と業界
このセクションでは、2023年6月7日から2024年1月13日までRhysidaのリークサイトで収集されたデータを分析します。トレンドマイクロのオープンソース情報(OSINT)の調査およびこの期間におけるリークサイトの情報によると、身代金の支払いを拒否した企業や組織は合計で71件に上りました。
Rhysidaのリークサイトに名前が挙がった被害件数のうち、最も多かった地域は欧州であり、全体の46.5%を占めています。そして北米地域が23.9%で続き、さらに中東地域が9.9%となり、これらの地域の企業や組織が攻撃対象になっています。
国別に見ると、Rhysidaによる攻撃で最も狙われた国は米国であり、被害を受けた企業や組織の中で22.5%を占めています。イギリスは被害件数全体の14.1%にあたり、イタリアは9.9%を占めています。
リークサイトのデータを業界別に見ると、Rhysida の被害は学術機関に集中しており、その割合は35.2%にのぼります。医療機関や政府機関もそれぞれ12.7%、11.3%と影響を受けています。
セグメント別に見ると、Rhysidaは主に小規模な企業をターゲットにしており、従業員数が1名から200名の中小企業が対象組織のうち53.5%を占めています。次いで中堅企業が21.1%と占めており、大企業は14.1%となっています。
感染フローと技術的詳細
初期侵入
- 初期侵入のためにフィッシングを使用しているとされています。
検出回避、事前調査
- セキュリティソフト関連のプロセスやサービスを終了させ、シャドウコピーを削除し、アクティブディレクトリのパスワードを変更するPowerShellスクリプト(SILENTKILLとして検出)を配置します。これらのスクリプトは、WinRM接続の設定にも使用されます。
水平移動・内部活動
- 初期侵入時にCobalt Strikeのビーコンを使用します。さらに、PowerShellスクリプトやランサムウェアのバイナリを展開するためにPsExecを使用していることも確認されています。
- Qakbotのバイナリも見つかり、ペイロードの配信に使用された可能性があります。
被害規模
- ファイル暗号化に4096ビットのRSAキーとAESを使用します。
その他の技術的詳細
- ランサムウェアRhysidaのバイナリは、以下のコマンドライン引数を受け付けます:
- -d<暗号化するパス>:暗号化するディレクトリを指定するために使用
- -sr:暗号化後に自身を削除するために使用
- nobg:暗号化後のデスクトップ壁紙の変更を無効にするために使用
- -md5
- -S:以下を実行:
- ランサムウェアのルーチンを回避
- "Rhsd"という名称のスケジュール化されたタスクを作成
- ランサムウェアRhysidaには、避けるべきファイルやディレクトリの文字列リストが含まれています。
- Windows版は、ファイルパスにこれらの文字列が含まれるディレクトリの暗号化を避けます。
- $Recycle.Bin
- Boot
- Documents and Settings
- PerfLogs
- ProgramData
- Recovery
- System Volume Information
- Windows
- $RECYCLE.BIN
- ApzData
- Linux版も、ファイルパスにこれらの文字列が含まれるディレクトリの暗号化を避けます。
- /boot
- /cdrom
- /dev
- /etc
- /lib
- /lib32
- /lib64
- /libx32
- /lost+found
- /media
- /opt
- /proc
- /run
- /sbin
- /snap
- /srv
- /sys
- /tmp
- /usr
- Linux版は、このファイルの暗号化も避けます。
- boot.cfg
- Windows版は、ファイルパスにこれらの文字列が含まれるディレクトリの暗号化を避けます。
- ランサムウェアRhysidaには、避けるべきファイルの拡張子のリストも含まれています。
- Windows版は、以下の拡張子を持つファイルの暗号化を避けます。
- .bat
- .bin
- .cab
- .cmd
- .com
- .cur
- .diagcab
- .diagcfg
- .diagpkg
- .drv
- .dll
- .exe
- .hlp
- .hta
- .ico
- .msi
- .ocx
- .ps1
- .psm1
- .scr
- .sys
- .ini
- Thumbs.db
- .url
- .iso
- Linux版も、以下の拡張子を持つファイルの暗号化を避けます。
- .sf
- .b00
- .v00
- .v01
- .v02
- .v03
- .v04
- .v05
- .v06
- .v07
- .t00
- .tgz
- .z
- Windows版は、以下の拡張子を持つファイルの暗号化を避けます。
- ランサムウェアRhysidaは身代金要求の脅迫状ノートを表示します。
- 暗号化方法:ランサムウェアは、ファイル暗号化のために4096ビットのRSAキーとAESを使用します。
MITRE tactics and techniques
詳細については、こちらをご参照ください。
Trend Vision One脅威ハンティングのクエリ
Trend Vision Oneのお客様は、以下のハンティングクエリを使用して、システム内のランサムウェアRhysida を検索することができます:
processCmd:"powershell.exe**$?.ps1" OR (objectFilePath:"?:*??\psexec.exe" AND processCmd:"cmd.exe????.bat")
使用されるツール、脆弱性悪用、その他マルウェアの概要
推奨事項
Rhysida は、それほど目立つランサムウェアとは見れてなかった一方、他のランサムウェア攻撃グループとのつながりや被害者を引きつける巧妙な手口は、悪質なサイバー攻撃への警戒を怠ってはならないことを改めて教えてくれます。Rhysida のようなランサムウェアの脅威が進化を遂げる中、企業や組織では、セキュリティ体制を強化し、しっかりとした防衛戦略を構築することが求められています。以下、Rhysidaを含め、ランサムウェア感染リスクから自社とデータを守るために企業や組織が採用できるセキュリティのベストプラクティスを紹介します。
- 監査とインベントリの実施
- 資産とデータの棚卸しを実施する
- 許可された機器、許可されていない機器、ソフトウェアなどを特定する
- イベントログ、インシデントログの監査を実施する
- 設定確認と監視活動の徹底
- ハードウェアおよびソフトウェアの設定管理を確認する
- 管理者権限を付与し、従業員の役割に必要な場合のみアクセスできるようにする
- ネットワークポート、プロトコル、サービスの監視を徹底する
- ファイアウォールやルータなどのネットワークインフラ機器のセキュリティ設定を有効化する
- 正規のアプリケーションのみを実行するソフトウェア許可リストを設定する
- 修正パッチ適用とアップデートの実施
- 定期的な脆弱性診断の実施を徹底する
- OSおよびアプリケーションのパッチ適用または仮想パッチを活用する
- ソフトウェアやアプリケーションの最新バージョンへのアップデートを徹底する
- 防御および復旧に備えた活動の実施
- データ保護、バックアップ、リカバリ対策の実施を徹底する
- 多要素認証を導入する
- 適切なセキュリティソリューションの導入
- サンドボックス解析による不正メールのブロック機能を導入する
- メール、エンドポイント、Web、ネットワークなど、システムのすべてのレイヤーに最新バージョンのセキュリティソリューションを導入する
- システム内の不審なツールの存在など、攻撃の兆候を早期検知する機能を実装する
- AIや機械学習による高度な検知技術を活用する
- セキュリティ関連のトレーニングやテストの徹底
- 従業員に対するセキュリティスキルの定期的な研修と評価を実施する
- レッドチーム演習や侵入テストを実施する
トレンドマイクロのソリューション
- 「Trend Vision One™」は、多層防御と挙動監視を提供し、ランサムウェアが不可逆的な損害をもたらす前に、不審な挙動やツールを早期にブロックすることが可能です。
- 「Trend Cloud One™ Workload Security」は、脆弱性を悪用する既知および未知の脅威を阻止します。こうした防御は、仮想パッチや機械学習などの技術によって実現されます。
- 「Trend Micro™ Deep Discovery™ Email Inspector」は、カスタムサンドボックスと高度な解析技術により、ランサムウェアの侵入口となるフィッシングメールなどの不正なメールを効果的にブロックします。
- 「Trend Micro Apex One™」は、ファイルレスの脅威やランサムウェアなどの高度な懸念に対して、次世代レベルの自動検知と対応を実現し、エンドポイントの防御を確実なものとします。
侵入の痕跡(IoC: Indicators of Compromise )
侵入の痕跡(IoC)はこちらで確認してください。
参考記事:
Ransomware Spotlight: Rhysida
By: Trend Micro Research
翻訳:与那城 務(Core Technology Marketing, Trend Micro™ Research)