ランサムウェア・アズ・ア・サービス(RaaS)は、ますます人気の高い攻撃手法となっています。アフィリエイト向けに設計された既製のランサムウェアキットを利用することで、犯罪者は高度な技術的知識を必要とせずに攻撃を開始できます。マイクロソフトは月曜日に発表したレポートで、最新のRaaS攻撃の波を取り上げ、それらに対抗するためのアドバイスを提供しています。
マイクロソフトは、2022年8月に発表したサイバーシグナルズ社のレポート「恐喝の経済性」の中で、RaaSキットはダークウェブ上で、正規のeコマースサイトで合法的な製品を購入するのと同じくらい簡単に購入できると説明しています。ContiやREvilといったRaaSプログラムを利用することで、サイバー犯罪者はランサムウェアのペイロード、データ漏洩対策、顧客サポート、決済インフラなど、必要なものがすべて揃ったキットを購入できます。アフィリエイトと呼ばれる顧客は、RaaSキットを定額で購入でき、販売者は攻撃が成功するたびに一定の割合の利益を受け取ります。
参照: モバイルデバイスのセキュリティポリシー (TechRepublic Premium)
こうしたタイプのランサムウェア攻撃は、通常、マルウェア感染またはセキュリティ脆弱性の悪用による初期アクセスから始まります。そこから、認証情報の窃取に移行し、権限を昇格させ、ネットワーク内を横方向に移動していく可能性があります。最終目標はデータの窃取であり、攻撃者は重要なデータを人質として確保します。RaaSベースの攻撃の多くは、二重の脅迫戦略を用いており、盗んだデータは収集されるだけでなく、身代金が支払われない限り公開されます。
2022年5月にContiランサムウェア集団が活動を停止したことで、RaaS環境は大きく揺るがされました。Contiキットを使用していた一部のアフィリエートは、LockBitやHiveといった他のRaaSシステムに移行しました。また、複数のRaaSシステムからペイロードを展開するアフィリエートも現れました。
ランサムウェアビジネスには、DEV-0537(別名LAPSUS$)とDEV-0390(元Conti関連組織)という2つのグループがあります。DEV-0390はマルウェアを介して攻撃を開始しますが、その後、正規のツールを使用してデータを盗み出し、身代金を要求します。また、このグループは認証情報を盗んでアカウントにアクセスし、盗んだデータをクラウド共有サイトに送信します。
ランサムウェア・アズ・ア・サービス攻撃から組織を守る方法
組織を RaaS 攻撃から保護するために、Microsoft はいくつかの推奨事項を提供しています。
初期アクセスを防止
マクロとスクリプトを管理して悪意のあるコードの実行を防ぎます。
ネットワークをセグメント化する
攻撃者による横方向の移動を防ぐには、アカウント権限に基づいてネットワークをセグメント化します。
アカウント資格情報の監査
アカウント認証情報の漏洩状況を確認することは、ランサムウェアやサイバー攻撃全般の阻止に役立ちます。ITスタッフとセキュリティオペレーションセンターが連携し、管理者権限のレベルを引き下げ、最も漏洩しやすい場所を把握するようにしてください。
攻撃対象領域を減らす
ランサムウェアインシデントにおける攻撃対象領域を縮小するためのルールを設定します。明確に定義されたルールを設定することで、攻撃を初期段階で阻止するのに役立ちます。
多要素認証を強制する
すべてのアカウントでMFAが有効になっていることを確認してください。ただし、管理者権限を持つアカウントを優先してください。MFAは、リモートワークやハイブリッドワークフォースにおいて特に重要であり、あらゆる場所、あらゆるデバイス、そして常時、すべての場所でMFAを必須にする必要があります。また、FIDOキーや認証アプリなどのパスワードレス認証をサポートするサイトやサービスでは、それらを必ず有効にしてください。
セキュリティの盲点を探す
セキュリティ製品が正しくインストールされ、定期的にテストされていることを確認してください。適切なセキュリティ設定で動作し、ネットワークのどの部分も保護されていない状態になっていないことを確認してください。
インターネットに接続された資産を強化する
リスクの高いサービスを排除するために、重複したアプリケーションや使用していないアプリケーションを削除することを検討してください。TeamViewerのようなアプリはサイバー犯罪者にとって格好の標的となるため、このようなアプリを許可する方法と場所を慎重に検討してください。
クラウド資産を強化する
攻撃者はクラウドベースのリソースを標的とするため、オンプレミスの資産だけでなく、クラウドベースのリソースも保護する必要があります。セキュリティ環境を強化し、クラウド管理者とテナント管理者のアカウントをドメイン管理者と同じレベルで管理することに重点を置きましょう。
システムを最新の状態に保つ
ソフトウェアとシステムのインベントリを維持して、サポートとセキュリティを優先する場所を把握し、最も機密性の高い重要な資産に迅速にパッチを適用できるようにします。
