CISA(Cybersecurity and Infrastructure Security Agency)、FBI(Federal Bureau of Investigation)、NSA(National Security Agency)が発表した共同のサイバーセキュリティ・アドバイザリーで、BlackMatterランサムウェアが「米国の複数の重要インフラを標的にしており、その中には米国の食品・農業分野の2つの組織も含まれている」と警告しています。
アイオワ州とミネソタ州にある米国の穀物協同組合への攻撃はBlackMatter、NEW Cooperative、Crystal Valley Cooperativeと関連していると考えられており、米国および世界のフードサプライチェーンにおけるデジタルセキュリティのリスクが浮き彫りになっています。
この新しいアドバイザリーでは、脅威の概要、その戦術、脅威に関連するネットワーク活動の特定とブロックに役立つ検知シグネチャ、緩和のためのベストプラクティスが紹介されています。
BlackMatterは、2021年7月に登場したランサムウェア・アズ・ア・サービス(Raas)業者で、ランサムウェアの開発者は被害者に対してランサムウェアを展開するサイバー犯罪者の関連会社(BlackMatter)から利益を得ることができます
Black Matterは、2020年秋から2021年5月まで活動していた主要なランサムウェア「Raas」である「Darkside」の「リブランド」である可能性があるとコメントしています。
8月にRecorded Future社が公開したインタビューの中で、BlackMatterは過去のランサムウェア「REvil」と「DarkSide」の最も効果的な特徴を取り入れようとしていると述べています。
BlackMatterの身代金要求額は、モネロやビットコインで8万ドルから1,500万ドルに及んでいるとのことです。
各機関は、重要インフラ組織に対し、検出シグネチャを導入し、強力なパスワードや多要素認証などのセキュリティのベストプラクティスに従うよう求めています。また、バックアップの実施や、ネットワークの分割・監視などの対策を講じることも推奨しています。
また、政府機関の担当者は被害者に攻撃の報告を促しています。
残念ながら、あまりにも多くのランサムウェアが報告されていません。黙っているとサイバー犯罪者が最も得をするため、対象となる企業には、最寄りのFBI支局に連絡してサイバーエージェントと話していただくようお願いしています
推奨されるランサムウェアへの対策
CISA、FBI、NSAは、BlackMatterランサムウェアによる被害のリスクを軽減するためにネットワーク、特に重要なインフラに対して、以下のような緩和策を適用することを推奨しています。
検出シグネチャの導入
検知シグネチャを導入してください。これらのシグネチャは、最初に暗号化された共有にランサムノートが置かれていることを特定してブロックし、その後24時間、暗号化システムからの追加のSMBトラフィックをブロックします。
強力なパスワードの使用
パスワードでログインするすべてのアカウント(サービスアカウント、管理者アカウント、ドメイン管理者アカウントなど)には、強力でユニークなパスワードを設定することを義務付けましょう。
パスワードは、複数のアカウントで再利用したり、敵がアクセスできる可能性のあるシステム上に保存したりしてはいけません。
注:ローカルの管理アカウントを持つデバイスでは、個々の管理アカウントに強力で固有のパスワードを要求するパスワードポリシーを実装する必要があります。
多要素認証の導入
可能な限り、すべてのサービスに多要素認証を導入しましょう。特にウェブメール、仮想プライベートネットワーク、重要なシステムにアクセスするアカウントには多要素認証を導入することを推奨します。
システムのパッチとアップデート
すべてのオペレーティング・システムとソフトウェアを常に最新の状態に保ちます。
適時にパッチを適用することは、サイバーセキュリティの脅威にさらされる機会を最小限に抑えるために組織が取ることのできる最も効率的で費用対効果の高い手段のひとつです。
ネットワーク上のリソースへのアクセスを制限する
管理権限共有(特にADMIN$とC$)への不要なアクセスを削除します。
ADMIN$とC$が運用上必要であると判断される場合は、必要なサービスアカウントまたはユーザーアカウントのみに権限を制限し、異常なアクティビティを継続的に監視します。
ホストベースのファイアウォールを使用して、限られた管理者マシンからSMB経由の管理共有への接続のみを許可する。
ネットワークセグメンテーションとトラバーサル監視の実施
敵対者は、ネットワークやシステムの可視化とマッピングのために、システムやネットワークの捜査技術を使用します。敵対者が組織のエンタープライズ環境を知ることを制限するために、一般的なシステムやネットワークの発見技術を以下のように制限しましょう
- ランサムウェアの拡散を防ぐためにネットワークをセグメント化する。
- ネットワークを分割することで、複数のサブネットワーク間のトラフィックフローやサブネットワークへのアクセスを制御し、敵の横方向の動きを制限することで、ランサムウェアの拡散を防ぐことができます。
- ネットワーク監視ツールを使用して、異常なアクティビティやランサムウェアが侵入した可能性を特定、検出、調査する。
管理者レベル以上のアカウントに時間ベースのアクセスを導入する。
ジャストインタイム(JIT)アクセス方式は、必要なときに特権的なアクセスを提供し、最小特権の原則(およびゼロトラストモデル)の実施をサポートすることができます。
これは、ネットワーク全体のポリシーを設定して、ADレベルの管理者アカウントが直接必要とされていない場合には、自動的に無効にするプロセスです。
アカウントが必要なときには、個々のユーザーが自動化されたプロセスでリクエストを提出し、システムへのアクセスを可能にしますが、タスクの完了をサポートするために設定された時間枠内でのみ使用できます。
コマンドラインやスクリプティングの活動や権限を無効にする
特権の昇格や横行は、コマンドラインから実行されるソフトウェア・ユーティリティに依存することが多い。脅威行為者がこれらのツールを実行できない場合、特権の昇格や横方向への移動が困難になります。
バックアップとリストアのポリシーと手順の導入と実施
データのオフラインバックアップを維持し、バックアップと復元を定期的に維持する。
これにより、組織が深刻な障害に見舞われたり、データが復元できなくなったり、身代金を要求されたりすることがなくなります。
すべてのバックアップデータが暗号化され、不変(変更や削除ができない)で、組織のデータインフラ全体をカバーしていることを確認する。
CISA、FBI、NSAは、重要インフラストラクチャに対し、クレデンシャルの漏洩リスクを低減するために、以下の追加的な緩和策を適用することを推奨しています
- LSASSメモリへのクリア・テキスト・パスワードの保存を無効にする
- New Technology Local Area Network Manager(NTLM)およびWDigest認証の無効化または制限を検討する。
- Windows 10 および Server 2016 用の Credential Guard を実装する
- Windows Server 2012R2では、Local Security Authority (LSA)のProtected Process Lightを有効にする
- ADの攻撃対象を最小限にして、悪意のあるチケット付与活動を減らします。Kerberoastingなどの悪意のある活動は、Kerberos のチケット付与サービスを利用し、攻撃者が解読しようとするハッシュ化された認証情報を取得するために使用される可能性があります
- サービスアカウントに強力なパスワードポリシーを設定する
- ドメイン・コントローラを監査して、成功したKerberos Ticket-Granting Serviceの要求を記録し、イベントを監視して異常な活動を確認する
Comments