FBI、AvosLockerランサムウェアを使ったサイバー攻撃に警告 - TechRepublic

FBIと米国財務省は、米国の重要インフラ部門を狙った特定の種類のランサムウェアに注意するよう組織に勧告しています。先週木曜日に発表された両機関の共同サイバーセキュリティ勧告では、ランサムウェア・アズ・ア・サービス（RaaS）のアフィリエイトを拠点とするグループ「AvosLocker」について警告しています。

被害者には金融サービス、製造業、政府機関などが含まれますが、これらに限定されません。このグループは、米国だけでなく、英国、カナダ、中国、台湾、ドイツ、スペイン、サウジアラビアなどの国々の組織も標的にしていると主張しています。

参照：サイバーセキュリティのプロになる方法：チートシート（TechRepublic）

このランサムウェアは、被害者のサーバー上のファイルを暗号化し、拡張子を.avos、avos2、またはAvosLinuxに変更します。GET_YOUR_FILES_BACK.txtという身代金要求メッセージは、被害を受けた組織に対し、ファイルと機密文書が暗号化されたこと、そして復号鍵とアプリケーションを入手するために身代金を支払う必要があることを伝えます。その後、被害者はAvosLockerの.onion支払いサイトにアクセスし、Monero（または10%～25%のプレミアムがかかったBitcoin）で身代金を支払うよう指示されます。

FBIによると、このランサムウェアグループのメンバーは実際に被害者に電話をかけ、支払いサイトへ誘導したり、支払額の減額交渉を行ったりしているという。こうした交渉の過程で、サイバー犯罪者は分散型サービス拒否（DDoS）攻撃を仕掛けると脅迫することもある。身代金を支払わない組織には、グループのプレスリリースブログを通じて機密データが漏洩する可能性があると警告されている。

AvosLockerランサムウェア攻撃は、組織が感染したことを示す手がかりとして、特定の侵害指標（IoC）を示します。こうしたIoCには、Windowsレジストリの「Run」キーの変更や、スケジュールされたタスクの使用などが含まれます。アドバイザリでは、これらの攻撃に関連する以下のツールもリストアップされています。

• コバルトストライク
• エンコードされた PowerShell スクリプト (公開ツール)
• PuTTYセキュアコピークライアントツール「pscp.exe」
• Rクローン
• エニーデスク
• 高度なIPスキャナー
• ウィンリスター

さらに、複数の被害者が、オンプレミスのMicrosoft Exchange Serverシステムの脆弱性が侵入経路の一つとして利用されていることを明らかにしました。また、CVE-2021-31207、CVE-2021-34523、CVE-2021-34473、そしてCVE-2021-26855に関連するProxy Shellの脆弱性も標的となっています。

「この種の勧告は、2つの要因を反映していることが多い。1つはグループによる攻撃件数の増加、もう1つは一貫した侵入の兆候、あるいはグループの手口に関する理解の深まりだ」と、Vectra AIのCTO、オリバー・タバコリ氏は述べた。「AvosLockerランサムウェアは、ランサムウェアの常套手段である、標的のファイルを探し出し、持ち出し、標的環境内のファイルを暗号化し、身代金要求のメッセージを送る、といった手法の、かなり標準的なバリエーションと言えるだろう。」

参照:セキュリティ意識向上とトレーニングポリシー(TechRepublic Premium)

組織が AvosLocker ランサムウェア攻撃からより効果的に身を守れるよう、このアドバイザリでは次のヒントを提供しています。

• リカバリ プランを設定して、機密データまたは独自データの複数のコピーを、メイン ネットワークとは別の安全でセグメント化された場所に保存します。
• ネットワークをセグメント化し、データのオフライン バックアップを保持して、攻撃が発生した場合にビジネスの中断を最小限に抑えます。
• 定期的にデータをバックアップし、すべてのオフラインバックアップにパスワードを設定してください。重要なデータのバックアップは、変更または削除されないようにしてください。
• すべてのホスト上のウイルス対策ソフトウェアとセキュリティ ソフトウェアを定期的に更新し、リアルタイム検出を実装します。
• 最新のセキュリティ パッチが利用可能になったらすぐに、オペレーティング システム、ソフトウェア、ファームウェアを更新してください。
• ドメイン コントローラー、サーバー、ワークステーション、アクティブ ディレクトリに新しいアカウントや見慣れないアカウントがないか確認します。
• すべてのユーザーに管理者権限を与えないでください。最小限の権限を念頭に置いてアクセス制御を設定してください。管理者権限を持つユーザーアカウントはすべて監査してください。
• 未使用のポートを無効にします。
• 組織外で受信した電子メールにバナーを表示することを検討してください。
• 受信した電子メール内のハイパーリンクを無効にします。
• 可能な場合はいつでも、多要素認証を使用してください。
• ネットワーク システムとアカウントには強力で安全なパスワードを使用し、定期的に変更してください。
• ソフトウェアをインストールするには管理者の資格情報が必要です。
• 安全なネットワークと VPN を使用し、パブリック Wi-Fi ネットワークの使用は避けてください。
• ランサムウェアやフィッシング攻撃などの新たなリスクや脆弱性に重点を置いたサイバーセキュリティ トレーニングをユーザーに定期的に提供します。

こちらもご覧ください

• ランサムウェア：IT プロフェッショナルが知っておくべきこと（無料 PDF）
• 採用キット: サイバーセキュリティエンジニア
• ランサムウェア攻撃を積極的に検出し、防止する方法
• 報告書：2021年にはほぼすべての種類のサイバー攻撃が増加
• サイバーセキュリティとサイバー戦争：さらに必読の記事（FlipboardのTechRepublic）