ヘルスケア企業を標的としたMazeランサムウェアをAIがキャッチ

より深刻な被害を及ぼしますます高額な標的を狙うようになったランサムウェアは、世界中のさまざまな組織に対して引き続きカオスと破壊をもたらしています。今年初め、‘Maze’ と呼ばれる種類のランサムウェアが急激に拡大しました。これは大手光学製品メーカーであるキヤノンの操業を中断させ、Cognizant社等のFortune 500企業に大混乱をもたらしました。
つい先月も、デュッセルドルフ大学病院に対するランサムウェア攻撃の結果ドイツの女性が死亡する というニュースがあったばかりで、人命への脅威はもはや理論上だけのものではないことが確認されました。
ランサムウェアはあらゆる産業に影響を及ぼしますが、2020年においてはサイバー犯罪者達はますますヘルスケア、地方自治体、重要インフラなどの生活に不可欠なサービスに被害を及ぼすようになっています。これには意図的なものも巻き添え被害もあります。リスクが高まる中、これらの壊滅的かつ蔓延する攻撃をどう防止するかを理解する必要性も高まっています。
ランサムウェアは、いったん侵入すると、組織のデジタルインフラを通って数秒で水平方向に広がり、数分でシステム全体をオフラインにすることも可能です。攻撃者はしばしば夜間や週末を狙って攻撃します。その時間はセキュリティチームの対応が遅くなることを知っているからです。マシンスピードの攻撃にはマシンスピードの防御、すなわち人間の指示を必要とせずにこの脅威に対応し、自律的に阻止できる防御が必要です。
本稿ではAIがEメールやSaaSアプリケーションからネットワーク、クラウド、IoTおよび産業用制御システムまでのデジタルエステート全体において「正常」を学習することによりランサムウェアをどのように検知し阻止するのかについて、Darktraceにより顧客環境で検知されたMazeランサムウェアの例を使って説明します。
DarktraceのImmune Systemは脅威が発生すると即座にそれを検知しましたが、自動対処機能はPassiveモードに設定されていたため、脅威を無害化するには人間によるアクションが必要でした。つまり、攻撃者達は組織内を素早く水平移動し、セキュリティチームが介入する前にファイルの暗号化を開始することができたのです。Activeモードに設定されていれば、Antigena Networkは最も早い段階でこのアクティビティを封じ込めていたでしょう。
DarktraceはMazeのようなランサムウェアをどのように検知するか?
Darktraceは(仮想的にまたはオンプレミスで)導入されるとすぐに、AIが組織全体のあらゆるユーザーとデバイスの「生活パターン」の学習を始めます。これによりサイバー脅威の兆候かもしれない異常なアクティビティを検知することができるのです。これはハードコードされたルールやシグネチャに頼ることなく行われます。ルールやシグネチャを使用するアプローチでは、これらのリストを更新してその後の同様の脅威を封じ込めるために「第一号患者」が必要です。新種のランサムウェアが組織全体に広がり何百台ものデバイスを数秒で感染させるような状況では、そのようなアプローチは役に立ちません。
組織の「生活パターン」の理解を持つことにより、DarktraceのAIは通常と異なるアクティビティをリアルタイムに認識することができます。そうしたアクティビティには次のようなものがあります:
アクティビティ | Darktraceの検知 |
通常はないC2サーバーからのダウンロード | EXE from Rare Destination / Masqueraded File Transfer |
公開アクセス可能なRDPサーバーに対するブルートフォース | Incoming RDP brute force models |
弱いパスワードまたはMFAのないWebポータルユーザーアカウントへのブルートフォースアクセス | Various brute force models |
Cobalt Strike経由のC2 / Empire Powershell | SSL Beaconing to Rare Endpoint / Empire Powershell and Cobalt Strike models |
偵察のためのネットワークスキャンおよびEternalBlueエクスプロイト | Suspicious Network Scan model known to download Advanced IP Scanner after successful exploit |
権限昇格のためのMimikatz使用 | Unusual Admin SMB Session / Unusual RDP Admin Session (Procdump, PingCastle, and Bloodhound) |
Psexec / 水平移動のための ‘Living off the Land’ (環境に寄生する)テクニック | Unusual Remote Command Execution / Unusual PSexec / Unusual DCE RPC |
C2サーバーへのデータ流出 | Data Sent to Rare Domain / Unusual Internal Download / Unusual External Upload |
暗号化 | Suspicious SMB Activity / Additional File Extensions Appended |
各種クラウドストレージサービスを通じたパスワードの流出 | Data Sent to New External Domain |
Ngrokを使用したRDPトンネル | Outbound RDP / Various beaconing models |
さらに、Darktraceはインターネットに接続されたサーバーに対するブルートフォースアクセスの試みも識別することができます。また、プレーンテキスト形式で保存されたパスワード、およびさまざまなパスワード管理データベースを狙った検索を検知することができます。
実際の感染事例からの考察

図1:攻撃のタイムライン
つい先日、DarktraceのAIはヘルスケア企業を標的としたMazeランサムウェアを検知しました。DarktraceのImmune System が攻撃ライフサイクルのあらゆる段階を数秒で特定すると、Cyber AI Analyst はインシデント全体の自動的な調査を即座に開始し、自然言語で書かれた、アクション可能な、インシデントについてのサマリーをセキュリティチームに提示しました。
最初の感染ベクトルはスピアフィッシングでした。Mazeはしばしばパンデミックをテーマとしたフィッシングメールによりヘルスケア企業 に対して送信されます。DarktraceはAIを使ったEメールセキュリティ も提供しています。これはあらゆるMicrosoft 365ユーザーの通常の挙動を理解しておりフィッシングを示す異常を特定するものですが、このツールを使用していなかったため、フィッシングメールは従来型のゲートウェイを簡単に通過してしまいました。
攻撃者はネットワークスキャニングアクティビティと列挙を開始し、研究開発部門のサブネット内でアクセスをエスカレートさせました。DarktraceのAIはadminレベルの認証情報の侵害、珍しいRDPアクティビティおよびKerberos認証の試みを検知しました。
Darktraceは攻撃者がドメインコントローラをアップロードしていることを検知しましたが、次いでバッチファイルが複数のファイル共有に書き込まれ、それが暗号化プロセスに使用されました。
感染したデバイスはその後Maze mazedecrypt[.]topに関連した不審なドメインに接続され、TORブラウザバンドルがおそらくC2目的でダウンロードされました。その後、研究開発部門のサブネットから大量の機密データが未知のドメインにアップロードされました。これはMazeランサムウェアに特徴的な動作であり、重要なファイルを暗号化しようとするばかりか、そのコピーを攻撃者に送信するという点で「二重の脅威」と言われる所以です。
このdoxwareとも言われる攻撃形態は、身代金の支払いが拒否されたときにも攻撃者が力を持てるようにするものです。たとえばこのデータをダークウェアに売ったり、知的財産を競合他社にリークすると脅したりすることができるからです。
Cyber AI Analystを使ったリアルタイムの自動化された調査
攻撃ライフサイクル全体を通じて、複数の高確度のアラートがDarktraceのAIによって生成され、これによりCyber AI Analystが自動的にバックグラウンドで調査を開始し、さまざまなイベントをつなぎ合わせて1つの包括的なセキュリティインシデントにまとめ、セキュリティチームがレビューできるよう単一の画面に表示しました。

図2:未知の外部ドメインに対するデータ流出

図3:Darktraceのユーザーインターフェイスはランサムウェア攻撃に直接関係したドメインコントローラ上の異常なアクティビティおよびModel Breachを明確に表示
Mazeのような標的型の二重脅威攻撃は増えつつあり、きわめて危険です。それらはますますリスクの高い環境を標的にするようになっています。数千社の組織が、上記のようなランサムウェアの侵入を検知し調査するためだけではなく、イベント発生時に自律的に対応させるためにAIを選択しています。このようなランサムウェア攻撃は、アクティブモードに設定された自動対処機能が単に「あると助かる」ものではなく「必要不可欠な」ものであることを証明しています。動きの速い脅威に対してはマシンスピードの対応が要求されるからです。
前回のブログでは、新種のゼロデイ攻撃が従来型のセキュリティツールをすり抜けたものの、Antigena Networkがアクティブモードに設定されていたため脅威の進行が自律的に阻止された事例を紹介しました。この独自の機能は、ますます巧妙化する攻撃手法の標的となっているあらゆる業界の組織にとってきわめて重要なものとなりつつあります。
この脅威事例についての考察はDarktraceアナリストAdam Stevensが協力しました。
Darktraceによるモデル検知結果
- Device / Suspicious Network Scan Activity
- Device / Network Scan
- Device / ICMP Address Scan
- Unusual Activity / Unusual Internal Connections
- Device / Multiple Lateral Movement Model Breaches
- Experimental / Executable Uploaded to DC
- Compromise / Ransomware::Suspicious SMB Activity
- Compromise / Ransomware::Ransom or Offensive Words Written to SMB
- Compliance / SMB Drive Write
- Compliance / High Priority Compliance Model Breach
- Anomalous Connection / SMB Enumeration
- Device / Suspicious File Writes to Multiple Hidden SMB Shares
- Device / New or Unusual Remote Command Execution
- Anomalous Connection / New or Uncommon Service Control
- Anomalous Connection / SMB Enumeration
- Experimental / Possible RPC Execution
- Anomalous Connection / High Volume of New or Uncommon Service Control
- Experimental / Possible Ransom Note
- Anomalous File / Internal::Additional Extension Appended to SMB File
- Compliance / Tor Package Download
- Device / Suspicious Domain
- Device / Long Agent Connection to New Endpoint
- Anomalous Connection / Data Sent to Rare Domain