米IBMは、2021年5月11日米最大の石油パイプライン企業Colonial pipelineをランサムウェアで操業停止に陥れた「Darkside」という組織の全貌を解説した記事を公開しました。
5,000万人に影響:米国最大の燃料パイプラインがランサムウェア攻撃を受け操業停止
IBMによると今回のColonial pipelineへの攻撃は、金銭が動機となったサイバー犯罪事件である可能性があるようです。この攻撃で疑われているグループは、「DarkSide 」という名前で呼ばれています。
セキュリティ分析チームIBM Security X-Forceのデータによると、ランサムウェアは2020年にX-Forceが対応した脅威タイプの第1位となり、組織に影響を与えた実際の攻撃の23%を占めています。
そのうち、攻撃の59%は二重恐喝のケースであり、被害者はデータを暗号化されたことに加えて指定された期限までに復号化キーを支払わなければデータが流出すると脅されていました。
二重脅迫 (ダブルエクストーション:double-extortion)とは?
またランサムウェア攻撃は、2020年にオペレーショナルテクノロジー(OT)を使用している組織にとって最も一般的な脅威であることがさらにわかっています。
ターゲット企業は製造業・石油・ガス・輸送・公益事業・建設・鉱業などがあり、ランサムウェア攻撃は攻撃全体の33%を占めています。この傾向は、ランサムウェアの攻撃対象として、OTネットワークを持つ組織が特に魅力的であると考えていることを示しています。
Darksideは誰なのか?
2020年8月新たなランサムウェア組織がサイバー犯罪の分野に参入すると発表し、その組織は「プレスリリース」のようなもので、完璧なランサムウェアツールを開発したことを宣言していました。
この投稿は、このグループのTORドメインに掲載されており、自分たちは経験の浅いサイバー犯罪者ではなく、他の成功したランサムウェア組織の元関係者として活動しており、これまで数百万ドルを稼いできたとも述べています。
このマルウェア自体、GandCrabやSodinokibiランサムウェアとの小さな類似点があり、身代金請求書のテンプレートも同様です。
もうひとつの類似点はDarkSideが、言語レイアウトが旧ソ連の17カ国のうちの1つに対応するコンピュータを回避するように設計されており、シリアのアラビア語が追加されていることもSodinokibiとの類似点としています。
彼らは「もし我々の仲間に参加してくれる協力者がいるのなら、技術に精通したロシア語を話す人が望ましい。英語を話す人 には興味がない」と述べていました。
また、DarkSideは組織をターゲットにすることを計画していますが「お金が払える」人を狙い、医療・学校・非営利団体・政府とターゲットは絞らないと述べていました。
新しいグループ、古いTTP
DarksideはSodinokibiやMazeなど最新のランサムウェアを運用する他の組織と同様に、DarkSideは暗号化されたデータのロックとデータの流出と恐喝を組み合わせて被害者を攻撃します。
復号鍵の身代金を支払わなければ、攻撃者は被害者から盗んだ機密データを公開し、専用ウェブサイト「DarkSide Leaks」に少なくとも6カ月間掲載すると脅しています。
また、暗号化されたネットワーク機器に身代金請求書が表示された場合、身代金を支払わなければそのURLにデータがアップロードされるという強迫の一部として「Your personal leak page」というページへのTOR URLが被害者に伝えられています。
身代金はビットコインまたはモネロで要求され、最初の特定の期限までに支払われないと請求金額が倍になる傾向があります。
Darksideがネットワークに侵入する方法としては、RDPの3389番ポートを使った接続や、TORブラウザを使ったルーティングがよく使われているようです。
これは、X-Forceが組織ネットワークに対する同様の攻撃で観察してきた傾向と一致しており、攻撃者は侵害された認証情報を使用するのではなくターゲットをスキャンして悪用することを好んで使用しているようです。
MimikatzとCobalt StrikeはDarkSideの攻撃者が使用するツールとして使用され、認証情報搾取後に使用されるCobalt Strike Stagersは攻撃者が感染したデバイスをコントロールするのに使用されます。
「Stagers」は、より大きなBeaconペイロードをダウンロードしコントロール制御する小さなプログラムです。
攻撃は手動で行われ、通常広範囲に及ぶliving-off-the-landの戦術が用いられます。
セキュリティの弱いサーバや監視されていないサーバの場合、攻撃者はデータを収集する能力を容易に拡大し、横方向に移動することができました。
Windows Active Directoryツールを使用して、DCSync攻撃を行いすべてのADデータを奪取、その後ゴールデンチケット攻撃に至るケースもあります。
様々なDarkSide攻撃においてEDRソリューションがインストールされていたシステムは攻撃を回避していました。
DarkSide v2.0
ランサムウェア組織は、できるだけ早く多くのデータを暗号化するためにスピードが必要であることを理解しています。そのため、最初の段階では対称暗号を使用し、その後、最初の鍵を非対称鍵で暗号化することを選択することが一般的です。
マルウェアは、被害者のデータを暗号化するのに Salsa20 ストリーム暗号を使用し、マルウェアの実行ファイルに80バイトのRSA-1024公開鍵を埋め込みます。それを使ってSalsa20マトリックスを暗号化します。正しく暗号されていれば、この鍵を解読することは不可能であり、被害者はデータを運用可能な状態に戻すためにはバックアップデータからのリストアなど別の回復方法を実施する必要があります。
「DarkSide」は 史上最速の復号化速度を提供することができると謳っています
このマルウェアはWindowsとLinuxの両方の環境を攻撃できるため企業のサーバーも従業員のエンドポイントと同様に「暗号化」することができます。またDarkSideは、仮想マシンを攻撃し、そのハードドライブ上のデータを暗号化することもできます。
DarkSideは、攻撃の第一段階で時間をかけます。ネットワークやバックアップのマッピング、作業可能なユーザーアクセスの設定、報酬を得られなかった場合に後で漏洩する予定のデータの流出など、被害者に対する最終的な影響力を最大限に高めるための他の目的を達成するまで暗号化は行いません。
金銭的動機に基づく攻撃の自称
過去10年間でランサムウェアは単なる迷惑行為を行う攻撃から、CISOやセキュリティリーダーが最も悩ましいリスクの1つに進化しています。
インシデント対応の計画と対応能力の強化の必要性は飛躍的に高まっており、サイバー攻撃のリスク、影響、長期的な結果を軽減するために不可欠であるものになっています。
元CISA長官のChris Krebs氏は、米国議会での演説の中でランサムウェア攻撃が猛威を振るっていることを、「我々は欲に駆られた世界的なデジタルパンデミックの真っただ中にいる」と述べています。
Darksideは、ソーシャルメディア上でランサムウェア攻撃の動機をその目的は金銭的なものであると答えています。
ランサムウェア集団「DarkSide」、次のターゲットは節度を持って選定すると宣言、米国に萎縮か
パイプラインへの攻撃により、米国の燃料価格は5月10日から2~3%上昇する可能性が高く、パイプラインがオフラインである限り影響は拡大し続けると予想されています。
政府が出した地域緊急避難措置によりパイプラインの操業が回復するまでの間、地上交通機関を利用した燃料製品の一時的な配送が認められています。
米国、ランサムウェアの米国最大パイプライン被害により緊急事態宣言
ゼロ・トラスト・アプローチを採用してリスクを低減
ゼロトラストとは、複雑なネットワークが常に外部や内部からの脅威にさらされていることを前提としたフレームワークです。
ゼロトラスト・アプローチでは、すべての接続やエンドポイントが脅威であると想定することで、外部・内部を問わず、すでに内部にある接続であっても、これらの脅威から保護するフレームワークに依存します。
ゼロトラスト・ネットワークとは、一言で言えば
- 企業内のすべてのネットワークトラフィックを記録・検査
- ネットワークへのアクセスを制限・制御
- ネットワークリソースの検証とセキュリティの確保
言い換えると、ゼロトラスト・セキュリティ・モデルはデフォルトではデータやリソースにアクセスできないように設計されています。
ユーザーは、適切な状況下で限定的にしかアクセスできないようになっており、ゼロトラスト・セキュリティ・モデルにおいてはユーザがアプリケーションやソフトウェアに接続したときやAPIを介してデータセットに接続したときなどすべての接続を都度検証・認証します。
また、ゼロトラスト・セキュリティ・モデルでは、可能な限り多くのデータソースからの通信やリソースの状態を収集して、動的なポリシーを作成、すべてのデバイス、ネットワーク・フロー、および接続を認証および許可することで不正アクセスの可能性を低減するものとなります。
Comments