新ランサムウェアグループSnapMC、30分以内ハッキングで侵害を完了させていたことが判明

news

セキュリティ研究者は、通常30分以内という電光石火のハッキングを実行して企業のファイルを盗み出し、数日以内に身代金を支払わないとデータをネット上やメディアに流出させると脅して被害者を恐喝する新たな脅威グループを発見しました。

オランダのセキュリティ企業Fox-IT社が発見したこのグループは、侵入時間が短く、データの流出にmc.exeというツールを使用することから「SnapMC」と名付けられています。

Fox-IT社の研究者によると、ウェブ向けソフトウェアの脆弱性を利用して企業ネットワークに侵入しており、いくつかの侵入は、Telerik ASP.NETフレームワークのUIコンポーネントの脆弱性であるCVE-2019-18935の悪用を行っているとのことです。

NVD - CVE-2019-18935

侵入後、グループはローカルシステムからデータを収集するために素早く行動し、ハッキングされたネットワーク上で30分以上過ごすことはなかったと報告されています。

侵入に成功すると、SnapMCは、盗んだファイルのリストを証拠としてハッキングされた企業にメールで送信。企業には通常メールへの返信に24時間、身代金支払いの交渉に72時間の猶予が与えられます。

企業に交渉開始を迫るために、SnapMCはデータのごく一部を公開したり、ファイルをネット上に流出させると脅したり、メディアにハッキングの事実を伝えると脅したり、被害企業の顧客に侵入の事実を通知したりします。

Fox-IT社によると、このグループを追跡していた間、被害者の内部ネットワークにアクセスしたにもかかわらず、ランサムウェアを展開している様子は見られず、データの流出とそれに続く恐喝のみに焦点を当てていたとのことです。

さらに、Fox-IT社によると、SnapMCグループと現在の「リークマーケット」(進行中または失敗した恐喝のデータをリークするためのWebポータル)との関連性も確認できていないとのことです。

現在、リーク・マーケットやデータ・オークション・サイトとしては、以下のようなものがあります。

  • Arvin Club
  • Bonaci Group
  • Dark Leak Market
  • File Leaks
  • Karakurt
  • LockData
  • Marketo
  • XING
  • LockData-auction

企業が適切な防御策を導入することを目的として、SnapMC社が侵入の際によく使用するツールやテクニックをまとめたテクニカルレポートを発表しました。

Fox-IT社のレポートでは、攻撃をブロックするための最もシンプルなソリューションとして、Telerikベースのアプリケーションの前にWebファイアウォールを導入することが推奨されています。

まず、最初のアクセスは、一般的にパッチが存在する既知の脆弱性を介して行われます。タイムリーにパッチを適用し、(インターネットに接続された)機器を最新の状態に保つことが、この種の攻撃の犠牲にならないための最も効果的な方法です。

脆弱性スキャンを定期的に行うことで、ネットワーク上のどこに脆弱性のあるソフトウェアが存在するかを確認してください。

また、ソフトウェアパッケージを提供しているサードパーティが、脆弱性のあるソフトウェアをコンポーネントとして使用している場合もあり、脆弱性は直接手の届かないところにあります。したがって、パッチ管理と保存の方針について、組織とソフトウェア供給者との間で明確な相互理解を持ち、明確に定義された契約を結ぶことが重要です。

後者は、インシデントが発生した場合に、フォレンジック分析や根本原因の分析のために、サプライヤからシステムを提供してもらう義務が生じる可能性にも当てはまります。

特筆すべきは、Telerikの特定のバージョンの悪用性をリファレンステストした際に、ソフトウェアコンポーネントが適切に設定されたWeb Application Firewall(WAF)の背後に存在する場合、悪用は成功しないことが明らかになったことです。

最後に、検知とインシデント対応のメカニズムとプロセスを適切に実装することで、組織への深刻な影響をうまく軽減できる可能性が高まります。タイムリーに検知し、効率的に対応することで、被害が顕在化する前に被害を軽減することができます。

Comments

タイトルとURLをコピーしました