カスペルスキー社の新しいレポートによると、古いマルウェアの亜種が復活し、新たなマルウェアが開発される中、サイバー犯罪者は引き続きランサムウェアを使用して全国の小売業者や企業を脅かしているという。
カスペルスキーは、2021 年後半から 2022 年にかけての技術的および地政学的に慎重な分析により、ランサムウェアの新たな傾向をいくつか挙げています。
ランサムウェアは可能な限り適応性を高めようとする
大型動物の狩猟
Big Game Hunting(BGH)モデルにより、ランサムウェアの脅威アクターはますます複雑な環境に侵入するようになりました。その結果、これらの脅威アクターは、多種多様なハードウェアやオペレーティングシステムに対処する必要があり、アーキテクチャとオペレーティングシステムのさまざまな組み合わせで悪意のあるコードを実行できる必要があります。
この目的を達成するために、一部のランサムウェア開発者は、RustやGolangといったクロスプラットフォームのプログラミング言語でコードを記述することを選択しました。興味深いことに、Kasperskyは、このようなクロスプラットフォームのコードは、例えばC言語で書かれたコードよりも、防御側にとって解析が困難であると述べています。
コンティ
Contiの脅威アクターの関連組織は、様々なランサムウェアのバージョンを利用しています。Contiの一部の関連組織は、Linux版の亜種でESXiシステムを攻撃しているマルウェアの亜種にアクセスできます。
ブラックキャット
BlackCatランサムウェアはRustで記述されており、異なるプラットフォーム上でのコンパイルが容易です。Kasperskyによると、Windows版BlackCatの登場から間もなく、Linux版が登場しました。Linux版はWindows版と非常によく似ていますが、Linuxに適応するために若干の変更が加えられています。Windowsでcmd.exeを使用して実行していたコマンドは、Linux版のコマンドに置き換えられています。また、Linux版はマシンをシャットダウンし、ESXi仮想マシン(VM)を削除する機能も備えています。
デッドボルト
DeadBoltもその一つです。このランサムウェアはBash、HTML、Golangを巧みに組み合わせて記述されており、QNAPとASUSTORのNASアプライアンスのみを標的としながらも、クロスプラットフォーム機能を利用することができます。
参照:パスワード侵害:ポップカルチャーとパスワードが混ざらない理由(無料PDF)(TechRepublic)
ランサムウェアのエコシステムはより「産業化」される
ランサムウェアの脅威の主体は、他のソフトウェア企業と同様に、自分自身や顧客/関係者にとって物事をより迅速かつ容易にするために絶えず進化しています。
Lockbitは、長年にわたり絶え間ない進化を遂げてきた、非常に成功したランサムウェア・アズ・ア・サービス(RaaS)です(図A)。2019年に始まり、2020年には急速に進化を遂げ、アフィリエイトを積極的に受け入れるようになり、リークポータル、二重脅迫スキーム、そしてデータ暗号化前のデータ窃取といった機能を開発しました。機能と使いやすさの継続的な向上に加え、インフラストラクチャも時間とともに改善され、より強靭になり、攻撃やDDoS攻撃への対抗手段となっています。
図A
StealBITの窃取ツールも、この産業化段階の顕著な例です。当初、サイバー犯罪者はデータの窃取に公開されているツールのみを使用していましたが、検出されにくく、かつデータ転送速度を大幅に向上させるために独自のツールを開発しました。また、このツールはファイル拡張子に基づいて選択されたファイルのみを窃取できます。さらに、このツールには、データが窃取された際に送信されるアフィリエイト追跡番号が含まれています。
ランサムウェアの脅威アクターは地政学を考慮
まず、感染対象を選定する際に地政学的側面が考慮されるようになりました。スパムメールやフィッシングメールの見出しには、COVID-19やウクライナ戦争が使われ、ユーザーに添付ファイルを開かせたり、感染リンクをクリックさせたりしています。
COVID-19を利用した電子メール感染は個人的な攻撃ではありませんでしたが、ウクライナとロシアの戦争はサイバー犯罪者がどちらかの側につくため、結果も異なります。例えば、コンティの情報漏洩は、紛争におけるコンティの立場を理由に親ウクライナ派の攻撃者がコンティを攻撃し、情報漏洩させたことが原因です。2022年2月25日、コンティは自社のウェブサイトで声明を発表し、ロシアがサイバー攻撃の標的となった場合、敵国の重要インフラに対して全力で報復すると表明しました。
一方、アノニマス、ウクライナのIT軍、ベラルーシのサイバーパルチザンなどのコミュニティはウクライナを支持する立場を取った。
Freeudは、ウクライナを標的とした全く新しいランサムウェアの亜種で、身代金要求メッセージには、ロシア軍はウクライナから撤退すべきだという内容が含まれています。また、このランサムウェアには、消去対象のファイルリストが設定されている場合、ファイルを完全に消去する機能も備わっています。
この紛争が始まって以来展開されている他のランサムウェアは、破壊的な活動を隠蔽してきました。GoRansom、HermeticWiper、DoubleZero Wiper などがその例です。
参照: モバイルデバイスのセキュリティポリシー(TechRepublic Premium)
ランサムウェアから身を守るための推奨事項
セキュリティを向上させるためのベストプラクティスは次のとおりです。
- 社内で使用するすべてのデバイスにおいて、すべてのソフトウェアとオペレーティングシステムを常に最新の状態に保ちます。これは、あらゆるシステムやデバイスを標的とする可能性のある一般的な脆弱性の悪用を防ぐのに非常に効果的です。
- 大きなファイルの流出や疑わしいネットワーク データ転送を検出するために、送信トラフィックを厳重に監視する必要があります。
- ラテラルムーブメントを検知できるセキュリティソリューションを導入してください。企業ネットワーク内でのこうした動きは攻撃者にとって必須であり、データの流出や破壊を防ぐためには、早期に検知する必要があります。
- XDR (eXtended Detection and Response) ソリューションに加えて、ランサムウェアに重点を置いたセキュリティ ソリューションを導入する必要があります。
- SOC チームに特定の脅威インテリジェンス情報を提供します。
- ランサムウェアの脅威の攻撃者はスピアフィッシングを使用して企業を標的にする可能性があるため、電子メール保護/フィッシング対策ソリューションを導入してください。
開示:私はトレンドマイクロに勤務していますが、この記事で述べられている意見は私自身のものです。
