夜にやってくる: ランサムウェアの展開傾向

Themes Observed in Ransomware Incidents news

ランサムウェアはリモートのデジタル シェイクダウンです。それは破壊的で費用がかかり、最先端の 宇宙技術企業から 羊毛産業産業環境まで、あらゆる種類の組織に影響を与えます。感染症により、病院は患者を拒否することを余儀なくされ、法執行機関は麻薬の売人に対する訴訟を取り下げることを余儀なくされました。ランサムウェア オペレーターは最近、被害者に対する影響力を高めるために、暗号化をデータ漏洩や露出の脅威と組み合わせ始めています。ただし、明るい兆しもあるかもしれません。 Mandiant Intelligence の調査によると、防御努力を重要な領域に集中させ、迅速に行動することで、組織はランサムウェアが展開される前に阻止できる可能性があります。

Mandiant Intelligence は、2017 年から 2019 年にかけて数十件のランサムウェア インシデント対応調査を調査しました。この調査を通じて、最初の侵入ベクトル、滞留時間、およびランサムウェア展開の時刻に共通する特徴をいくつか特定しました。また、利益を最大化するための戦術における攻撃者の革新にも注目しました (図 1)。インシデントは、金融サービス、化学物質および材料、法律および専門サービス、地方自治体、医療など、ほぼすべてのセクター カテゴリの北米、ヨーロッパ、アジア太平洋、中東の組織に影響を与えました。 FIN6 、TEMP.MixMaster、およびその他の数十の活動セットなど、金銭目的のグループによる侵入が観察されました。

Themes Observed in Ransomware Incidents
図 1: ランサムウェア インシデントで観察されたテーマ

これらのインシデントは、ランサムウェアの傾向に対する洞察を強化し、ネットワーク防御者に役立つ可能性がありますが、このデータはすべてのアクティビティのサンプルにすぎないことを心に留めておく価値があります.たとえば、Mandiant ランサムウェアの調査は、2017 年から 2019 年にかけて 860% 増加しました。これらのインシデントの大部分は侵害後の感染であると思われ、攻撃者は侵害後の展開を含む戦術の使用を加速して、身代金の支払いの可能性を高めていると考えられます。また、GANDCRAB や GLOBEIMPOSTER のインシデントなど、ランサムウェアが即座に実行されたインシデントも観察しましたが、調査された侵入のほとんどは、より長い期間で、より複雑な侵害後の展開でした。

一般的な初期感染ベクトル

RDP、悪意のあるリンクまたは添付ファイルを使用したフィッシング、その後の活動を促進するマルウェアのダウンロードによるドライブなど、複数のランサムウェア インシデントでいくつかの初期の感染経路が確認されました。 RDP は 2017 年により頻繁に観測され、2018 年と 2019 年には減少しました。これらのベクターは、ランサムウェアがさまざまな手段で被害者の環境に侵入できることを示していますが、そのすべてがユーザーの操作を必要とするわけではありません。

RDP またはその他のリモート アクセス

最も頻繁に観察されたベクトルの 1 つは、攻撃者がリモート デスクトップ プロトコル (RDP) を介して被害者の環境のシステムにログオンすることでした。場合によっては、攻撃者が資格情報をブルート フォースしました (認証の試行に何度も失敗し、続いて 1 回の試行が成功しました)。また、RDP へのログオンの成功が、ランサムウェアに感染する前の悪意のある活動の最初の証拠であった場合もあります。標的とされたシステムがデフォルトまたは脆弱な認証情報を使用した、攻撃者が他の観測されていない悪意のある活動を介して有効な認証情報を取得した、または攻撃者が別の攻撃者によって確立された RDP アクセスを購入した可能性があります。 2019 年 4 月、私たちは、FIN6 が盗んだ資格情報と RDP を使用して横方向に移動し、ランサムウェアの展開につながったことを指摘しました。

リンクまたは添付ファイルによるフィッシング

かなりの数のランサムウェア ケースがフィッシング キャンペーンに関連付けられており、金銭目的の活動で最も多作なマルウェア ファミリのいくつかを配信しています: TRICKBOT、EMOTET、および FLAWEDAMMYY。 2019 年 1 月に、Ryuk のインタラクティブな展開につながった TEMP.MixMaster TrickBot 感染について説明しました。

ドライブバイダウンロード

いくつかのランサムウェア感染は、DRIDEX 感染を引き起こした侵害された Web サイトに移動した被害者環境のユーザーにまでさかのぼります。 2019 年 10 月に、FAKEUPDATES、次に DRIDEX、そして最終的に BITPAYMER または DOPPELPAYMER の感染をもたらす侵害された Web インフラストラクチャを文書化しました。

ほとんどのランサムウェアの展開は、最初の感染から 3 日以上後に発生します

悪意のあるアクティビティの最初の証拠からランサムウェアの展開までの経過日数は、0 ~ 299 日でした (図 2)。つまり、滞留時間は非常に広く、ほとんどの場合、最初のアクセスからランサムウェアの展開までに時間差がありました。インシデントの 75% で、悪意のあるアクティビティの最初の証拠からランサムウェアの展開までに少なくとも 3 日が経過しました。

このパターンは、多くの組織にとって、最初の感染が検出され、封じ込められ、迅速に修復されれば、ランサムウェア感染に伴う重大な損害とコストを回避できることを示唆しています。実際、少数のケースでは、Mandiant インシデント レスポンダーと FireEye Managed Defense が悪意のあるアクティビティを封じ込めて修復し、ランサムウェアの展開を防いだ可能性があります。いくつかの調査により、ランサムウェアが被害者の環境にインストールされたものの、まだ実行に成功していない証拠が発見されました。

最初のアクセスからランサムウェアの展開までの経過日数
図 2: 最初のアクセスからランサムウェアの展開までの経過日数

営業時間外に最も頻繁に展開されるランサムウェア

私たちが調査したインシデントの 76% で、ランサムウェアは被害者の環境で時間外に実行されました。つまり、週末、または平日の午前 8 時前または午後 6 時以降に、被害者のタイム ゾーンと通常の勤務週を使用して実行されました。組織 (図 3 および図 4)。この観察結果は、ほとんどの従業員がそうでなくても、攻撃者が活動を続けていることを強調しています。

一部の攻撃者は、営業時間外、週末、または休日に意図的にランサムウェアを展開して、通常の勤務時間よりもゆっくりと修復作業が実行されることを前提として、操作の潜在的な効果を最大化する可能性があります。他のケースでは、攻撃者はランサムウェアの展開をユーザーの行動に関連付けました。たとえば、2019 年の小売および専門サービス企業でのインシデントでは、攻撃者は Active Directory グループ ポリシー オブジェクトを作成し、ユーザーのログオンとログオフに基づいてランサムウェアの実行をトリガーしました。

ランサムウェアの実行は、営業時間外に頻繁に行われます
図 3: 時間外にランサムウェアが頻繁に実行される
時間ごとのランサムウェアの実行
図 4: 時間ごとのランサムウェアの実行

緩和に関する推奨事項

ランサムウェア感染の影響を防止または緩和しようとしている組織は、次の手順を検討できます。 ランサムウェアに対処するためのより包括的な推奨事項については、ブログ投稿を参照してください。

感染ベクターに対処する

  • 企業ネットワーク、電子メール、およびホストベースのセキュリティ製品と最新の検出機能を使用して、TRICKBOT、DRIDEX、EMOTET などの多くの一般的なマルウェア株を防止および検出します。
  • 感染を迅速に封じ込めて修復し、攻撃者がその後の活動を行ったり、さらなる悪用のために他の脅威アクターにアクセスを販売したりするのを防ぎます。
  • 定期的なネットワーク境界とファイアウォール ルールの監査を実行して、誤ってインターネットにアクセス可能なままになっているシステムを特定します。このアクセスが明示的に必要とされないシステムでは、RDP およびその他のプロトコルを無効にします。可能であれば、特にインターネット アクセス可能な接続に対して、多要素認証を有効にします。詳細については、ホワイト ペーパーの 4 ~ 15 ページを参照してください。
  • 多要素認証を強制します。つまり、有効になっている場合、多要素メカニズムを設定していないユーザーに対して単一要素認証を許可しません。

ベスト プラクティスの実装

  • たとえば、会社のネットワークでデバイスを操作するすべての従業員に対して、定期的なフィッシング対策トレーニングを実施します。従業員が脅威、それを防止する上での役割、および感染が成功した場合の潜在的なコストを認識していることを確認してください。
  • 感染の可能性が広がるのを防ぐために、可能な場合はネットワーク セグメンテーションを実装します。
  • ビジネスの継続性を確保するために必要な重要なデータの定期的なバックアップを作成し、可能であればオフサイトに保存します。攻撃者はバックアップを標的にすることが多いためです。
  • 特定のログオン タイプからローカル管理者アカウントを制限します。詳細については、ホワイト ペーパーの 18 ページを参照してください。
  • LAPS などのソリューションを使用して、システムごとに一意のローカル管理者パスワードを生成します。
  • Mimikatz クレデンシャル ハーベスティングを防ぐために、平文のパスワードをメモリに保存することを禁止します。詳細については、ホワイト ペーパーの 20 を参照してください。
  • ランサムウェア感染をカバーするサイバー保険を検討してください。

緊急計画の策定

  • 緊急時に設定された時間内に対応できるよう、時間外のカバレッジを確保します。
  • 組織内の複数の利害関係者に連絡するための冗長な手段と、関連するサードパーティ ベンダーの 24 時間対応の緊急連絡先情報を含む、営業時間外の緊急エスカレーション計画を作成します。

見通し

ランサムウェアは破壊的でコストがかかります。近年、脅威アクターの技術革新により、ランサムウェア感染の潜在的な損害が増加するだけであり、この傾向は衰える気配がありません。金銭目的の攻撃者は、ランサムウェア感染から得られる利益を最大化するために戦術を進化させ続けると予想されます。侵害後のランサムウェア感染は増加し続け、攻撃者はランサムウェアの展開を、データの窃盗や恐喝、身代金要求の増加、重要なシステムの標的化などの他の戦術とますます組み合わせるようになると予想されます。

幸いなことに、特に侵害後の感染では、最初の悪意のあるアクションとランサムウェアの展開の間に時間がかかることがよくあります。ネットワーク防御担当者が初期侵害を迅速に検出して修復できれば、ランサムウェア感染による重大な損害とコストを回避できます。

詳細については、今後のランサムウェア ウェビナーに登録してください。

参照: https://www.mandiant.com/resources/blog/they-come-in-the-night-ransomware-deployment-trends

Comments

タイトルとURLをコピーしました