テクノロジー
製品
リソース
会社
日本語
テクノロジー
製品
ブログ
リソース
会社

ランサムウェアのリサイクル:帰ってきたRyuk

Brianna Leddy, Director of Analysis | 2021年10月21日木曜日

国際規模のサイバー戦争の時代に入り、世間の注目は、小物のサイバー窃盗から、よく知られた、豊富な資金力を持つ、時には政府の支援を受けたサイバー犯罪組織へと移ってきました。しかしサイバー攻撃は時として釣り合いの取れない規模で発生し、多大な損害を与えるのに必ずしも大きな予算や大物犯罪組織が必要とは限りません。

犯罪者であれ興味本位のハッカーであれ、世界で最もセキュアなシステムのいくつかを1人で破った話は数多くあります。少し面白い話としては、弱冠5才のクリストファー・フォン・ハッセル君がMicrosoftのXbox Liveシステムの新しい脆弱性を発見したこともありました。そしてもちろん、大規模な組織のシステムへの侵入に成功しハッキングにより有望なセキュリティのキャリアを開いた 人達もいます。しかし、個人の脅威アクターによって深刻な損害が発生した事例もあります。

たとえば中古のオフェンシブツールを使い、Dark Webでほんの10ドル程度でボットネットアーミーを購入したり、無料でダウンロードできるランサムウェアを使ったりする犯罪者かもしれません。しかし結果的に、たった1人の犯罪者であっても、その機会があれば大規模な組織に壊滅的な損害を与えることも可能なのです。

彼らが手に入れるツールがサイバー犯罪史上最も悪名高い組織のいくつかにより開発されたものである場合は特にそうです。

模倣犯

2021年初め、Darktraceはかつて悪名高かったRyukランサムウェアがAPAC地域のある企業に対して仕掛けられているのを検知しました。この検知結果は不思議でした。

Ryukを開発した、‘Wizard Spider’として知られる有力なサイバー犯罪組織は、これをかなり前に破棄して後継の‘Conti’に移行していました。Wizard Spiderは近年の最も大規模なサイバー攻撃のいくつかを、おそらくはロシア政府の支援を受けて実行したと言われており、現在インターポールとFBIの捜査対象となっています。彼らが古いツールを使うということはこれまでありませんでした。

ほどなく、この攻撃はWizard Spiderが実行したものではまったくなく、Wizard Spiderが残していったツールを拾った小規模な脅威アクターによるものであることが分かりました。そしてこの新しい攻撃者が実証したとおり、これらのツールはまだまだ使えるものでした。

Ryuk ランサムウェア:市を機能停止させるほどのツールが販売されている

Ryuk ランサムウェアは大規模なエンタープライズ環境を標的とするのによく使われ 、市議会全体をダウンさせたケースもいくつかありました。フロリダ州レイクシティ、そして南オーストラリア州のオンパカリンガ市 が被害者として知られていますが、米国内の多数の学校や病院も被害に遭っています。

Ryukがシステム内で活動を始めると、対称 (AES) および非対称 (RSA) 暗号の組み合わせによりファイルを暗号化し、Windowsのシステムリストア機能を無効にしつつ、プライベート復号化キーと引き換えに、主にビットコインでの支払いを要求します。

Ryukはその前身であるHermesのようにDark Webサイト‘exploit[.]in’ で売られてはいませんでしたが、一部の文献 では、現在このツールキットはさまざまな脅威アクターが購入し、自らのニーズに合わせてカスタマイズできるようどこかで入手可能になっているはずだとされています。これによりWizard Spider以外での再発も説明できます。

新しい攻撃者

DarktraceはRyukの新しいインスタンスをアジア太平洋地域のある不動産会社でのトライアル導入中に発見しました。最初の危険な兆候が現れたのは、いくつかのベーシックな.datファイルがロシアにある未知のIPアドレスからこの会社の1台のデバイスにダウンロードされたときでした。Darktrace はこのダウンロードが侵害の可能性が高いことを即座に検知し、もしAntigenaがアクティブモードに設定されていれば、この早い段階で的を絞った対処が実行されていたでしょう。

感染したデバイス上の.dat ファイルは攻撃者がRDP (Remote Desktop Protocol) ファイルを使ってこの会社のネットワーク内でさらに拡散することを可能にしました。最初の侵害から2日後、脅威アクターはブルートフォース攻撃によって管理者認証情報を取得し、ネットワーク内をさらにスキャンしました。

図1:攻撃のタイムライン

真夜中

攻撃者が管理者認証情報を取得した1時間後、現地時間の午前3時半には、ランサムウェアファイルが企業内のネットワークに出現しました。このタイミングは偶然ではありません。攻撃者は、ランサムウェアを仕掛けた真夜中のタイミングでは標的企業のセキュリティチームは自宅で寝ているため、攻撃を成功させるのに十分な時間があることを知っていたのです。

これはまさに、大規模な予算や複雑なツールセットを使用しなくとも攻撃のスケールを何倍にも高めることのできる、シンプルな戦術の一例です。Ryukランサムウェアは夜の間に社内のファイルを急速に暗号化し始め、セキュリティチームが翌朝戻ってきた時には、なんとかRyukの拡散を止め最後の何台かのデバイスを救おうとネットワーク全体をシャットダウンすることしかできませんでした。

最初の侵入から広範なデータ暗号化まで、トータルの攻撃時間はわずか2日半でした。人手不足のため、あるいは他のことに気を取られていたためか、セキュリティチームはアラートに対応できる短いチャンスの内に時間を見つけることができず、またDarktrace Antigenaはパッシブモードであったため、攻撃は進行しました。この企業にとって、人手の介入を必要とすることなく、古い攻撃からも新しい攻撃からも24時間保護することのできるAutonomous Responseの必要性は、痛いほど明確になりました。

Autonomous Response:Ryukに止められる前にRyukを止める

Ryukが今でも防御をすり抜けセキュリティチームの不意を突くことができる現状で、Ryukのこれまでの歴史や機能を理解してもほとんど意味がないでしょう。Darktraceの自己学習型AIはこれらの高度な脅威に対し、別の攻撃者の手によって進化し従来のルールベースのセキュリティツールでは識別不可能になったとしても、対応することが可能です。

24時間、週7日のAutonomous Responseにより新たな脅威も古い脅威もマシンスピードで阻止できることは、セキュリティチームに攻撃者と同じ土俵で戦うための最も大きな可能性を与えてくれます。Darktrace Antigenaを使えば、攻撃者の規模や状態、彼らのツールセットは関係ありません。あらゆる異常で脅威となる動作は、迅速かつ正確に、損害が発生する前に無害化されます。

この脅威事例についての考察はDarktraceアナリストThomas Nommensen が協力しました。

Autonomous Responseが攻撃を数秒で阻止する方法について詳しく知る

Brianna Leddy

Based in San Francisco, Brianna is Director of Analysis at Darktrace. She joined the analyst team in 2016 and has since advised a wide range of enterprise customers on advanced threat hunting and leveraging Self-Learning AI for detection and response. Brianna works closely with the Darktrace SOC team to proactively alert customers to emerging threats and investigate unusual behavior in enterprise environments. Brianna holds a bachelor’s degree in Chemical Engineering from Carnegie Mellon University.