二重恐喝ランサムウェア

Brianna Leddy, Director of Analysis | 2021年5月19日水曜日

1年半前、「二重恐喝」ランサムウェアを使っていた既知の脅威アクターは1つだけでした。現在では、16を超えるランサムウェアグループがこの戦術を活発に使用しています。二重恐喝とはどのようなもので、なぜこれほど人気が出たのでしょうか？

二重恐喝ランサムウェアとは何か

これまでのランサムウェアのストーリーは、悪意あるコードが公開鍵RSA暗号化を使ってファイルを急速に暗号化し、被害者が身代金を支払わなければファイルを削除してしまうというものでした。

しかし、2017年の悪名高いWannaCry およびNotPetya ランサムウェア攻撃以後、企業はサイバー防御を強化しました。バックアップおよびリストアのプロセスがより重視され、ファイルがもし削除されても、組織にはコピーがありデータを簡単にリストアすることができるようになりました。

ところが、サイバー犯罪者達もテクニックを適応させたのです。今度はファイルを暗号化するだけではなく、二重恐喝ランサムウェアは最初にデータを抜き出します。つまり企業が身代金を支払わなければ、情報をオンラインでリークする、あるいは最も高い金額を払う者に売り払うこともできるのです。突如として、苦労したバックアップやデータ復旧計画の価値が失われました。

Mazeランサムウェアとその仲間

2019年末には、二重恐喝の最初の有名な事例であるMaze ランサムウェアが出現しました。ほどなく他の種類もそれに続き、その年の大晦日には外貨両替企業Travelexの業務を停止に追い込んだSodinokibi攻撃が発生しました。

2020年半ばまでには、数百の組織が二重恐喝攻撃の被害者となり、ダークネット上のさまざまなウェブサイトで企業データが取引され、Ransomware-as-a-Serviceビジネスが急拡大し、開発者が新しいタイプのマルウェアを売ったり借りたりするようになりました。

さらに、サイバーセキュリティの規制がサイバー犯罪者達によって兵器化されています。コンプライアンス違反（CCPA、GDPR、NYSDFS規制等）には多大な罰金が伴うため、黙って身代金（罰金よりも少額）を払うよう脅迫するのです。

2020年に発生した二重恐喝ランサムウェアインシデントは63か国で1,200件発生し、その60%以上が米国および英国を標的としていました。

これらの攻撃を緩和しようと次々に新しい規制が作成されていますが、勢いが弱まる様子はありません。RUSIによる最近の調査によれば、2020年には1,200件の二重恐喝ランサムウェア攻撃が 63か国で発生しています。その60%は米国に本社がある組織を標的とし、英国はそれに次ぐ数の侵害を受けました。

先月、REvilとして知られるサイバー犯罪者集団が彼らのサイト‘Happy Blog’ においてAppleの新しいMacbook Proについての情報を掲載し、さらなる設計情報を公開すると脅迫して身代金5000万ドルを要求しました。さらに先週、Colonial Pipeline社は壊滅的な被害を受けたOTランサムウェア攻撃から復旧するために500万ドルをビットコインで支払ったと噂されています。

二重恐喝ランサムウェア攻撃の構成

Darktraceは昨年、二重恐喝ランサムウェア攻撃の急激な増大を観測しましたが、最近のケースはカナダにあるエネルギー企業に対するものです。ハッカーたちは明らかに下調べをしてきた様子で、攻撃をこの会社に合わせてカスタマイズし、侵入後はすばやく、密かに内部を移動しました。以下は、ほぼ24時間の間に実行された実際のインシデントのタイムラインです。

図1：攻撃のタイムライン

Darktraceは侵入のあらゆる段階を検知し、高優先度のアラートでセキュリティチームに通知しました。この環境内でDarktrace Antigenaが運用されていれば、侵害を受けたサーバーは異常な動作を開始した後すぐに隔離され、感染が拡大するのを防いでいたはずです。

暗号化および拡張子

最初の感染ベクトルはわかっていませんが、管理者アカウントに侵入されたのはフィッシングリンクまたは脆弱性のエクスプロイトによるものと思われます。これは過去10年間に見られた広範な「乱射型」ランサムウェア攻撃から、より標的型のアプローチに変化するトレンドを示しています。

Cyber AIは不審なネットワークスキャニングを行いRemote Desktop Protocol (RDP) を使って水平移動を試みている内部のサーバーを発見しました。漏洩した管理者認証情報を使って、このサーバーから別の内部デバイス‘serverps’ に対して急激に拡散しました。

デバイス ‘serverps’ はTeamViewer（正当なファイルストレージサービス）に対して接続し、それは21時間近く継続しました。この接続はデバイスをリモートコントロールし、攻撃の次の段階を進めるために使用されました。この企業のデジタル環境においてTeamViewerはそれほど広く使われていませんでしたが、既存の防御システムはいずれもこれをブロックしませんでした。

このデバイスは次に内部のファイルサーバーに接続し、1.95 TBのデータをダウンロードし、同じボリュームのデータを pcloud[.]com にアップロードしました。抜き出しは通常の管理者アクティビティに紛れ込むために業務時間内に行われました。

また、このデバイスがRcloneソフトウェアをダウンロードしている様子も見られました。これはオープンソースのツールで、正規のファイルストレージサービスであるpCloudにデータを自動的に同期させるために適用されたものと思われます。

漏えいした管理者認証情報により脅威アクターは水平方向への移動が可能になりました。データ抜き出しが完了した後、デバイス ‘serverps’ はついに12台のデバイス上のファイルを*.06d79000という拡張子で暗号化し始めました。

ほとんどのランサムウェアインシデント同様、暗号化は業務時間外（現地時間の深夜）に実行されました。これはセキュリティチームが迅速に対応できる可能性を最小化するためでした。

AIによる調査

Cyber AI Analystはこの攻撃に関連した4つのインシデントについて報告し、不審な動作をセキュリティチームに対して指摘するとともに、影響を受けたデバイスについてのレポートを提供して即座に修正を促しました。このような簡潔なレポートによりセキュリティチームは感染の範囲をすばやく特定し適切に対応することができました。

図2：1週間分のCyber AI Analyst インシデントトレイ

Cyber AI Analystによるオンデマンド調査

3月13日に行われたさらなる分析の後、セキュリティチームはCyber AI Analystを使って、侵害されたMicrosoft 365の管理者アカウント、および潜在的な脅威として識別された別のデバイスに対してオンデマンド調査を実施しました。

Cyber AI Analystはこの別のデバイスに対してインシデントを作成し、そこから感染の期間に発生していた不審なポートスキャニングが判明しました。このデバイスは直ちにネットワークから取り除かれました。

図3：侵入されたデバイスに対するCyber AI Analystインシデント。不審な内部ダウンロードの詳細が示されている。

ダブルトラブル

正規のツールの使用、および ‘Living off the Land’（環境に寄生する）テクニックの使用（RDPと漏えいした管理者認証情報の使用）により、脅威アクターは攻撃のほとんどを24時間以内に実行することができました。「悪」であることが既知のドメインや最近登録されたドメインではなく、正規のファイルストレージソリューションであるTeamViewerをデータ抜き出しに使うことにより、ハッカーたちはあらゆるシグネチャベースの防御を簡単に回避することができたのです。

Darktraceがこの侵入を検知して即座にセキュリティチームに警告していなければ、この攻撃は従業員がファイルを使えなくなる「ビジネス拒否」だけではなく、機密データの損失にもつながっていたかもしれません。AIはさらに、自動調査とオンデマンドのレポート生成により、セキュリティチームの貴重な時間を節約しました。

二重恐喝ランサムウェアによる損失は甚大です。データの抜き出しによってさらなるリスクが加わり、知的財産の侵害、評判上の損失、コンプライアンス違反の罰金につながります。脅威グループの手にデータが渡れば、その後さらに支払いを要求される可能性も大いにあるでしょう。したがって、そうなる前にこれらの攻撃を防御する必要があり、脅威が発生次第即座に検知および自律的に対処できるサイバーセキュリティ対策をあらかじめ導入しておくことが重要です。

二重恐喝ランサムウェアについて詳しく知る

IoC:

IoC	コメント
api[.]pcloud[.]com	データ抜き出しのためのクラウドストレージ
downloads[.]rclone[.]org	抜き出しに使うためのRCloneソフトウェアのダウンロード
162.250.6[.]138 (AS42473 ANEXIA Internetdienstleistungs GmbH)	リモートアクセスに使用されたTeamViewer IP

Darktrace によるモデル検知結果：

Device / Suspicious Network Scan Activity
Device / RDP Scan
Device / Network Scan
Anomalous Connection / Unusual Admin SMB Session
Anomalous Connection / Unusual Admin RDP Session
Device / Multiple Lateral Movement Model Breaches
User / New Admin Credentials on Client
Anomalous Connection / Uncommon 1 GiB Outbound
Anomalous Connection / Low and Slow Exfiltration
Device / Anomalous SMB Followed By Multiple Model
Anomalous Connection / Download and Upload
Anomalous Connection / Suspicious Activity On High Risk Device
Anomalous File / Internal::Additional Extension Appended to SMB File
Compromise / Ransomware::Suspicious SMB Activity
Anomalous Connection / Sustained MIME Type Conversion
Device / Anomalous RDP Followed By Multiple Model Breaches
Anomalous Connection / Suspicious Read Write Ratio
Device / Large Number of Model Breaches

Brianna Leddy

Based in San Francisco, Brianna is Director of Analysis at Darktrace. She joined the analyst team in 2016 and has since advised a wide range of enterprise customers on advanced threat hunting and leveraging Self-Learning AI for detection and response. Brianna works closely with the Darktrace SOC team to proactively alert customers to emerging threats and investigate unusual behavior in enterprise environments. Brianna holds a Bachelor’s degree in Chemical Engineering from Carnegie Mellon University.