テクノロジー
製品
リソース
会社
日本語
テクノロジー
製品
ブログ
リソース
会社

Griefランサムウェアの幕を引く

Oakley Cox, Analyst Technical Director | 2022年5月26日木曜日

Griefランサムウェア、これはPayOrGriefとも呼ばれていましたが、2021年の中ごろから末にかけてその被害が急速に知られるようになりました。このマルウェアの背後のギャングは四重恐喝ランサムウェア 戦術を使用し、地方自治体や学校区を含む幅広い組織を標的にしました。

2021年7月、このランサムウェアがサイバーセキュリティ業界に最初に知られてからわずか数週間後、Griefはギリシャで2番目に大きい都市、テッサロニキを標的としました。2000万ドルの身代金要求に対し、市のセキュリティチームはそのすべてのウェブサイトと公的サービスのシャットダウンを余儀なくされ、この侵害に対する全面的調査を開始しました。

2人組:GriefとDoppelPaymer

2021年5月の出現以来、Griefは新しいマルウェアを使用し、これは過去の攻撃に基づいて設定されたセキュリティツールを混乱させました。しかし6月には、このグループの攻撃の巧妙さと効率の良さから、Griefのオペレーター達は観測された2か月の活動を超える経験を有しているだろうと多くの人が推測しました。

Griefは現在、DoppelPaymerランサムウェアギャングの新たなブランドであると広く報告されています。このグループは2021年5月に活動を停止しており、またロシアのランサムウェアギャングEvil Corpとつながりがあると見られていました。しかし新たな名前となった後、Griefは従来型のセキュリティツールを次々と打破し、わずか4か月の間に1000万ドルを優に超える 金額を稼ぎ出していました。

改変やブランド変更はRansomware-as-a-Serviceビジネスモデルを使う犯罪集団がよく使うテクニックです。Griefのブランド変更の成功は、ランサムウェアギャングがどれほどすばやく攻撃を一新してシグネチャベースのツールで識別できないようにすることができるかを示しています。

Cyber AI Analystを使ってGriefのトリックを明らかに

2021年7月には、PayOrGriefはあるヨーロッパの製造業企業を標的としましたが、そこではネットワーク全体にDarktraceが導入されていました。 Darktraceによる攻撃の早期検知、またCyber AI Analystによるそのライフサイクルに対するリアルタイムの可視性により、この攻撃の各段階は明確に確認できていました。

図1:PayOrGrief 攻撃のタイムライン

最初の侵入では4台のデバイスが感染し、Darktraceはこれらのデバイスが未知の外部IPに接続しエンコードされたテキストファイルをダウンロードしたときにこれを検知しました。これらのデバイスは標的型フィッシング攻撃により侵入された可能性が高く、これはGriefによる攻撃においてDridex等のマルウェアをデバイスに注入するのによく使われる方法です。この組織にAntigena Emailが導入されていれば、このフィッシング攻撃を識別してこれらのEメールが従業員の受信箱に到達するまえに阻止していたでしょう。しかしこのケースでは、攻撃は継続しました。

最初の侵入に続き、C2(コマンド&コントロール)通信が暗号化されたチャネルを通じ無効なSSL証明書を使って行われました。感染したデバイスの1つから50MBのデータがコーポレートサーバーに対してアップロードされ、これにより攻撃者はこの企業の重要資産、つまり最も機密性の高いデータに対するアクセスを手に入れたのです。この特権的地位を確保し、またキープアライブビーコンを動作させ、攻撃はデトネーションの準備ができました。

いくつかのデバイスが合計100 GBを超えるデータを外部のファイルストレージプラットフォームMegaに対し、443番ポートで暗号化HTTPSを使ってアップロードしようとしていることが検知されました。しかし、攻撃者は彼らが期待していたトータルデータパッケージを受けとることはありませんでした。この組織は主要なアセットおよび最も機密性の高いデータを保護するため、Darktraceの自動遮断技術を導入していたのです。AIはこれらの異常な動作を、この企業の通常の「生活パターン」からの著しい逸脱として認識し、保護されたデバイスからのアップロードを自律的にブロックすることにより、その動作が可能なあらゆる場所においてデータ流出を防止しました。

図2:Cyber AI Analystが調査した1台のデバイスからのデータ抜き出し

攻撃者はその後デジタル環境内で拡散を続けました。RDPおよびSMBを含む‘Living off the Land (環境に寄生する) ’ テクニックを使って、彼らは内部偵察を行い、権限を昇格させ、さらに多くのデジタル資産に渡って水平移動していきました。最初のC2通信からわずか10時間後、新たな管理者認証情報を手に入れると、攻撃者はランサムウェアの暗号化処理を開始しました。

これらのことから、GriefはおそらくDarktraceユーザーを過去に標的としたことがあり、あまりに早い段階で無害化されたために、攻撃の身元が特定されていなかったケースがあると思われます。この企業では、自動遮断技術をネットワークの特定の部分にのみ導入していたため、保護されていなかったデバイスで攻撃がどのように進行したかを確認することができました。

予期せぬ容疑者

GriefランサムウェアのIoC(Indicators of Compromise)は現在多くの従来型セキュリティツールにも取り込まれていますが、これは短期的な解決策であり、脅威アクターの戦術の変更および彼らが標的とするデジタル環境の変化のいずれについても考慮していません。Griefの名前が陳腐化すれば、別のものがとって代わることは確実でしょう。

サイバーセキュリティに対するAIドリブンのアプローチは、脅威がいつどこで、どのような名前でやって来ても関係なくそれらに対抗できます。デジタルエステート全体に対する高度な理解を構築することに重点を置くDarktraceの自動遮断技術は、特定の異常に対して特定の、程度にあったアクションを実行するもので、それらがまったく新しい攻撃の一部であっても対処が可能です。また、これらの脅威が検知された時点でアクションを実行する自由を与えておくことにより、自動遮断技術は人間のチームが対応できないときにも組織の保護を確実にすることができます。

上記の脅威検知に対する知見を提供してくれたDarktraceアナリストBeverly McCann氏に感謝します。

技術的詳細

Darktrace によるモデル検知結果

  • Device / Suspicious SMB Scanning Activity
  • Device / New User Agents
  • Anomalous Server Activity / Rare External from Server
  • Compliance / External Windows Communications
  • Anomalous Connection / Application Protocol on Uncommon Port
  • Anomalous Connection / Anomalous SSL without SNI to New External
  • Anomalous Connection / Rare External SSL Self-Signed
  • Anomalous Connection / Multiple Connections to New External TCP Port
  • Anomalous Connection / New User Agent to IP Without Hostname
  • Compliance / Remote Management Tool on Server
  • Anomalous Server Activity / Outgoing from Server
  • Anomalous Connection / Multiple HTTP POSTs to Rare Hostname
  • Anomalous Connection / Data Sent to Rare Domain
  • Anomalous Connection / Lots of New Connections
  • Unusual Activity / Unusual File Storage Data Transfer
  • Unusual Activity / Enhanced Unusual External Data Transfer [Enhanced Monitoring]
  • Anomalous Connection / Uncommon 1GiB Outbound
  • Unusual Activity / Unusual External Data to New Ips
  • Anomalous Connection / SMB Enumeration
  • Multiple Device Correlations / Behavioral Change Across Multiple Devices
  • Device / New or Uncommon WMI Activity
  • Unusual Activity / Unusual External Connections
  • Device / ICMP Address Scan
  • Anomalous Connection / Unusual Admin RDP Session
  • Compliance / SMB Version 1 Usage
  • Anomalous Connection / Unusual SMB Version 1
  • Anomalous File / Internal / Additional Extension Appended to SMB File
  • Unusual Activity / Anomalous SMB Move and Write
  • Compromise / Ransomware / Suspicious SMB Activity [Enhanced Monitoring]
  • Anomalous Connection / Suspicious Read Write Ratio and Unusual SMB
  • Anomalous Connection / New or Uncommon Service Control
  • Device / New or Unusual Remote Command Execution
  • User / New Admin Credentials On Client
  • Device / New or Uncommon SMB Named Pipe
  • Device / Multiple Lateral Movement Model Breaches [Enhanced Monitoring]
  • Anomalous Connection / Suspicious Read Write Ratio
  • Device / SMA Lateral Movement
  • Anomalous File / Internal / Unusual Internal EXE File Transfer
  • Anomalous Server Activity / Unusual Unresponsive Server
  • Device / Internet Facing Device with High Priority Alert
  • Multiple Device Correlations / Spreading Unusual SMB Activity
  • Multiple Device Correlations / Multiple Devices Breaching the Same Model

Darktrace Autonomous Responseアラート

  • Antigena / Network / Insider Threat / Antigena Network Scan Block
  • Antigena / Network / Insider Threat / Antigena Breaches Over Time Block
  • Antigena / Network / Significant Anomaly / Antigena Significant Anomaly Block
  • Antigena / Network / Significant Anomaly / Antigena Breaches over Time Block
  • Antigena / Network / Insider Threat / Antigena Large Data Volume Outbound Block
  • Antigena / Network / Significant Anomaly / Antigena Enhanced Monitoring from Client Block
  • Antigena / Network / Insider Threat / Antigena SMB Enumeration Block
  • Antigena / Network / Significant Anomaly / Antigena Controlled and Model Breach
  • Antigena / Network / Insider Threat / Antigena Internal Anomalous File Activity
  • Antigena / Network / Significant Anomaly / Antigena Significant Anomaly from Client Block
  • Antigena / Network / External Threat / Antigena Ransomware Block
  • Antigena / Network / External Threat / SMB Ratio Antigena Block

観測されたMITRE ATT&CKテクニック

ReconnaissanceT1595 — Active Scanning
Resource DevelopementT1608 — Stage Capabilities
Initial AccessT1190 — Exploit Public-Facing Application
PersistenceT1133 — External Remote Services
Defense EvasionT1079 — Valid Accounts
DiscoveryT1046 — Network Service Scanning
T1083 — File and Directory Discovery
T1018 — Remote System Discovery
Lateral MovementT1210 — Exploitation of Remote Services
T1080 — Taint Shared Content
T1570 — Lateral Tool Transfer
T1021 — Remote Services
Command and ControlT1071 — Application Layer Protocol
T1095 — Non-Application Layer Protocol
T1571 — Non-Standard Port
ExfiltrationT1041 — Exfiltration over C2 Channel
T1567 — Exfiltration Over Web Service
T1029 — Scheduled Transfer
ImpactT1486 — Data Encrypted for Impact
T1489 — Service Stop
T1529 — System Shutdown/Reboot

Oakley Cox

Oakley Cox is Analyst Technical Director for the Asia-Pacific region, and oversees the defense of critical infrastructure and industrial control systems, helping to ensure that Darktrace’s AI stays one step ahead of attackers. Oakley is GIAC certified in Response and Industrial Defense (GRID), and helps customers integrate Darktrace with both existing and new SOC and Incident Response teams. He also has a Doctorate (PhD) from the University of Oxford.