サービスとしてのランサムウェア: サイバー犯罪ギグエコノミーと自分自身を保護する方法を理解する

2022 年 9 月の更新– ランサムウェアの展開につながる最近のQakbot キャンペーンに関する新しい情報。

2022 年 7 月の更新– 既存の Raspberry Robin 感染が FakeUpdate の展開に使用され、DEV-0243 に似た後続のアクションにつながる、 DEV-0206 関連の活動に関する新しい情報。

2022 年 6 月の更新– DEV-0193 (Trickbot LLC) 、 DEV- 0504、 DEV-0237 、 DEV-0401から最近観察された活動、およびランサムウェアにつながるQakbot キャンペーンに関する新しいセクションを含む、脅威アクターとキャンペーンセクションの詳細展開。

Microsoft は 24 時間ごとに 24 兆の信号を処理しており、昨年だけでも数十億の攻撃をブロックしました。 Microsoft Security は、観察された国家、ランサムウェア、および犯罪活動全体で、35 を超える固有のランサムウェアファミリと 250 を超える固有の攻撃者を追跡しています。

ID、電子メール、データ、クラウドなどのさまざまなドメインから収集されたシグナルインテリジェンスの深さは、攻撃者が他の攻撃者の参入障壁を下げるように設計されたツールを使用して作成したギグエコノミーに関する洞察を提供します。ツールの成功からの売却と関連する「カット」による配当と資金運用。

サイバー犯罪の経済は、さまざまな手法、目標、スキルセットを持つ多くのプレーヤーの継続的に進化する接続されたエコシステムです。従来の経済が効率性を求めてギグワーカーに移行したのと同じように、犯罪者は、自分で攻撃を実行するよりも、利益の一部を得るためにツールをレンタルまたは販売することで、作業やリスクが軽減されることを学び始めています。このサイバー犯罪経済の工業化により、攻撃者は既製の侵入テストやその他のツールを使用して攻撃を実行することが容易になりました。

このカテゴリの脅威の中で、Microsoft はサービスとしてのランサムウェア ( RaaS ) ギグエコノミーの傾向を追跡してきました。「人間が操作するランサムウェア」という業界用語を作り出したのは、これらの脅威が攻撃のあらゆる段階で標的のネットワークで見つけた情報に基づいて決定を下す人間によって引き起こされていることを明確にするためです。

以前のランサムウェア感染の広範な標的化と日和見主義的アプローチとは異なり、これらの人間が操作するキャンペーンの背後にいる攻撃者は、発見した内容に応じて攻撃パターンを変えます。ドメイン管理者のような特権アカウント。攻撃者はこれらの弱点を利用して特権を昇格させ、さらに価値のあるデータを盗むことができます。これにより、攻撃者はより多くの報酬を得ることができます。報酬を受け取った後も標的の環境を離れる保証はありません。また、攻撃者は、一度アクセスを取得すると、ネットワークにとどまることを決意することが多く、排除に失敗した場合は、別のマルウェアまたはランサムウェアペイロードを使用した追加の攻撃で、そのアクセスを繰り返し収益化することがあります。

近年、より多くのランサムウェアアズアサービスエコシステムが二重恐喝による収益化戦略を採用するようになったため、ランサムウェア攻撃はさらに影響力を増しています。すべてのランサムウェアは恐喝の一形態ですが、現在、攻撃者は侵害されたデバイスのデータを暗号化するだけでなく、データを盗み出し、それを公開するか公開すると脅迫して、ターゲットに身代金を支払うよう圧力をかけています。ほとんどのランサムウェア攻撃者は、アクセスできるネットワークに日和見的にランサムウェアを展開し、他のサイバー犯罪者からネットワークへのアクセスを購入する人さえいます。収益の高い組織を優先する攻撃者もいれば、盗み出すことができるショック値やデータの種類のために特定の業界を好む攻撃者もいます。

人間が操作するすべてのランサムウェアキャンペーン (さらに言えば、人間が操作するすべての攻撃全般) は、成功を可能にするセキュリティの弱点に対する共通の依存関係を共有しています。攻撃者は最も一般的に、組織の認証情報の衛生状態の悪さや従来の構成または構成の誤りを利用して、環境内の簡単なエントリおよび特権エスカレーションポイントを見つけます。

このブログでは、RaaS モデルを使用するいくつかのランサムウェアエコシステム、これらのアクターを見つけて排除する際のクロスドメインの可視性の重要性、および組織がこのますます一般的なスタイルの攻撃から身を守るために使用できるベストプラクティスについて詳しく説明します。また、クレデンシャルの衛生状態とクラウドの強化に関するセキュリティのベストプラクティス、セキュリティの盲点に対処する方法、インターネットに接続された資産を強化して境界を理解する方法なども提供します。簡単な目次は次のとおりです。

RaaS がランサムウェアインシデントに対する私たちの理解をどのように再定義するか
- RaaS アフィリエイトモデルの説明
- 販売およびMercurialターゲティングのためのアクセス
「人間が操作する」とは、人間が決定することを意味します
- 流出と二重恐喝
- 永続的で卑劣なアクセス方法
攻撃者とキャンペーンの詳細: 人間が操作するランサムウェア攻撃に対する脅威インテリジェンス主導の対応
ランサムウェアに対する防御: 検出による保護の先へ

Table of contents

RaaS がランサムウェアインシデントに対する私たちの理解をどのように再定義するか
1. RaaS アフィリエイトモデルの説明
2. 販売およびMercurialターゲティングのためのアクセス
「人間が操作する」とは、人間が決定することを意味します
1. 流出と二重恐喝
2. 永続的で卑劣なアクセス方法
攻撃者とキャンペーンの詳細: 人間が操作するランサムウェア攻撃に対する脅威インテリジェンス主導の対応
ランサムウェアに対する防御: 検出による保護の先へ
Microsoft 365 Defender: ランサムウェア攻撃から防御するための、ドメイン間の詳細な可視性と統合された調査機能

RaaS がランサムウェアインシデントに対する私たちの理解をどのように再定義するか

多くのサイバー犯罪者が攻撃を収益化する方法としてランサムウェアが好まれているため、人間が操作するランサムウェアは、今日の組織にとって最も影響力のある脅威の 1 つであり、進化し続けています。この進化は、これらの攻撃の「人間が操作する」側面によって推進されます。攻撃者は、情報に基づいて計算された決定を下し、その結果、ターゲットに合わせて調整されたさまざまな攻撃パターンが生成され、攻撃者が成功するか排除されるまで繰り返されます。

過去に、ランサムウェアの 1 つの株の各キャンペーンで、最初の侵入ベクトル、ツール、およびランサムウェアペイロードの選択の間に密接な関係があることを観察してきました。 RaaS アフィリエイトモデルは、技術的な専門知識に関係なく、より多くの犯罪者が、他の誰かによって構築または管理されたランサムウェアを展開することを可能にしており、このリンクを弱めています.ランサムウェアの展開がギグエコノミーになるにつれて、特定の攻撃で使用されたトレードクラフトをランサムウェアペイロードの開発者に結びつけることがますます難しくなっています。

ペイロード名を割り当ててランサムウェアインシデントを報告すると、同じランサムウェアペイロードを使用するすべての攻撃の背後にモノリシックなエンティティがあり、ランサムウェアを使用するすべてのインシデントが共通の手法とインフラストラクチャを共有しているという印象を与えます。ただし、ランサムウェアの段階だけに焦点を当てると、データの流出や追加の永続化メカニズムなどのアクションや、ネットワーク防御側の多数の検出と保護の機会を含む、攻撃の多くの段階が不明瞭になります。

たとえば、人間が操作するランサムウェアキャンペーンで使用されている基本的な手法は、何年にもわたってあまり変わっていません。大規模な企業ネットワークを保護するには、規律と持続的な取り組みが必要ですが、ネットワークの最も重要な資産とセグメントでのみ可能である場合でも、これらの攻撃がより広範な影響を及ぼさないようにする重要な制御を実装すると、高い ROI が得られます。

高度な特権を持つアカウントへのアクセスを盗む能力がなければ、攻撃者は横方向に移動したり、ランサムウェアを広く拡散したり、データにアクセスして盗んだり、グループポリシーなどのツールを使用してセキュリティ設定に影響を与えたりすることはできません。セキュリティコントロールを適用して一般的な攻撃パターンを妨害することで、攻撃者が侵入する前に阻止することで、セキュリティ SOC のアラート疲れを軽減することもできます。これにより、ネットワークトポロジや構成データの流出など、短期間の侵害による予期しない結果を防ぐこともできます。いくつかのトロイの木馬の実行の数分。

次のセクションでは、RaaS アフィリエイトモデルについて説明し、攻撃ツールと、セキュリティインシデントの際に作用するさまざまな脅威アクターとの間のあいまいさを解消します。このように明確にすることで、ランサムウェアのペイロードを検出するのではなく、攻撃を防ぐことに重点を置いた防御戦略に役立つ傾向と一般的な攻撃パターンを明らかにすることができます。この調査からの脅威インテリジェンスと洞察も、次のような当社のソリューションを強化します。 Microsoft 365 Defender 。その包括的なセキュリティ機能は、RaaS 関連の攻撃の試みを検出して顧客を保護するのに役立ちます。

RaaS アフィリエイトモデルの説明

サイバー犯罪経済 (さまざまな手法、目標、スキルセットを持つ多くのプレーヤーが接続されたエコシステム) は進化しています。攻撃の産業化は、攻撃者が Cobalt Strike などの既製のツールを使用することから、攻撃者がネットワークへのアクセスとネットワークに展開するペイロードを購入できるようになったことに進展しています。これは、攻撃者のスキルに関係なく、ランサムウェアおよび恐喝攻撃が成功した場合の影響が同じであることを意味します。

RaaS は、オペレーターとアフィリエイトの間の取り決めです。 RaaS オペレーターは、ランサムウェアのペイロードを生成するビルダーや、被害者と通信するための支払いポータルなど、ランサムウェアの操作を強化するツールを開発および保守します。 RaaS プログラムには、被害者から盗み出したデータのスニペットを共有するリークサイトも含まれている可能性があり、攻撃者は盗みが本物であることを示して、支払いを強要しようとする可能性があります。多くの RaaS プログラムには、さらに一連の恐喝サポートサービスが組み込まれています。これには、リークサイトのホスティングや身代金メモへの統合、復号化ネゴシエーション、支払い圧力、暗号通貨取引サービスなどが含まれます。

したがって、RaaS は、単一のランサムウェアファミリまたは一連の攻撃者であるペイロードまたはキャンペーンの統一された外観を提供します。ただし、RaaS オペレーターがランサムペイロードとデクリプタへのアクセスをアフィリエイトに販売し、アフィリエイトが侵入と権限昇格を実行し、実際のランサムウェアペイロードの展開を担当します。その後、当事者は利益を分割します。さらに、RaaS の開発者や運営者は、利益のためにペイロードを使用したり、販売したり、他のランサムウェアペイロードを使用してキャンペーンを実行したりする可能性があります。これらのアクションの背後にいる犯罪者を追跡することになると、状況がさらに悪化します。

サービスとしてのランサムウェアアフィリエイトモデルにおけるプレーヤー間の関係を示す図。アクセスブローカーはネットワークを危険にさらし、システムに残ります。 RaaS オペレーターは、ツールを開発および保守します。 RaaS アフィリエイトが攻撃を実行します。 — 図 1. RaaS アフィリエイトモデルがランサムウェア攻撃を可能にする仕組み

販売およびMercurialターゲティングのためのアクセス

サイバー犯罪経済の一部は、ランサムウェアを含むさまざまな目的で、システムへのアクセスを他の攻撃者に販売しています。たとえば、アクセスブローカーはシステムにマルウェアやボットネットを感染させ、それらを「負荷」として販売することができます。ロードは、他の犯罪者のために、感染したシステムに他のマルウェアまたはバックドアをインストールするように設計されています。他のアクセスブローカーはインターネットをスキャンして脆弱なシステムを探します。たとえば、公開されたリモートデスクトッププロトコル ( RDP ) システムの脆弱なパスワードやパッチが適用されていないシステムなどです。初期アクセスの販売に関する一部の広告では、システムがウイルス対策製品またはエンドポイント検出および応答 (EDR) 製品によって管理されておらず、ドメイン管理者などの高度な特権資格情報が関連付けられているため、より高い価格が得られることが具体的に言及されています.

ほとんどのランサムウェア攻撃者は、アクセスできるネットワークに日和見的にランサムウェアを展開します。収益の高い組織を優先する攻撃者もいれば、盗み出せる衝撃値やデータの種類を特定する業界を標的にする攻撃者もいます (たとえば、攻撃者は病院を標的にしたり、テクノロジー企業からデータを盗み出したりしています)。多くの場合、ターゲティングは、ターゲットのネットワークを具体的に攻撃するものとしては現れません。代わりに、アクセスブローカーからアクセスを購入するか、既存のマルウェア感染を使用してランサムウェアアクティビティにピボットします。

一部のランサムウェア攻撃では、負荷またはアクセスを購入したアフィリエイトは、システムが最初にどのように侵害されたかを知らず、気にもかけず、ネットワーク内で他のアクションを実行するための「ジャンプサーバー」として使用しているだけです。アクセスブローカーは、販売しているアクセスのネットワークの詳細を一覧表示することがよくありますが、アフィリエイトは通常、ネットワーク自体には関心がなく、収益化の可能性に関心があります。その結果、特定の業界を標的にしているように見える一部の攻撃は、アフィリエイトがランサムウェアを展開できるシステムの数と、収益の可能性に基づいてアクセスを購入しているという単純なケースである可能性があります。

「人間が操作する」とは、人間が決定することを意味します

マイクロソフトは、「人間が操作するランサムウェア」という用語を作り出し、攻撃チェーンのあらゆる段階で専門家の人間の知性によって引き起こされる攻撃のクラスを明確に定義し、意図的なビジネスの混乱と恐喝に至りました。人間が操作するランサムウェア攻撃には、利用するセキュリティの構成ミスと、ラテラルムーブメントと持続性に使用される手動の手法という点で共通点があります。ただし、これらのアクションは人間が操作する性質があるため、目的や身代金前のアクティビティなど、攻撃のバリエーションは、環境や攻撃者が特定した独自の機会に応じて進化します。

これらの攻撃には多くの偵察活動が含まれており、人間のオペレーターが組織のプロファイルを作成し、ターゲットに関する特定の知識に基づいて次のステップを知ることができます。 RaaS アフィリエイトへのアクセスを提供する初期アクセスキャンペーンの多くは、攻撃の最初の数分間で収集された情報の自動偵察と抽出を実行します。

攻撃がハンズオンキーボードフェーズに移行した後、この知識に基づく偵察と活動は、RaaS に付属のツールとオペレーターのスキルによって異なります。攻撃者は、攻撃を続行する前に、現在実行中のセキュリティツール、特権ユーザー、およびグループポリシーで定義されているようなセキュリティ設定を照会することがよくあります。この偵察段階で発見されたデータは、攻撃者の次のステップを知らせます。

攻撃を複雑にする最小限のセキュリティ強化があり、高度な特権を持つアカウントをすぐに取得できる場合、攻撃者はグループポリシーを編集して直接ランサムウェアを展開します。攻撃者は環境内のセキュリティ製品に注目し、それらを改ざんして無効にしようとします。RaaS の購入で提供されるスクリプトやツールを使用して複数のセキュリティ製品を一度に無効にしようとする場合もあれば、攻撃者が実行する特定のコマンドや手法を使用する場合もあります。

偵察および侵入段階の早い段階で人間が意思決定を行うということは、たとえターゲットのセキュリティソリューションが攻撃の特定の技術を検出したとしても、攻撃者はネットワークから完全に追い出されず、他の収集された知識を使用して攻撃を継続しようとする可能性があることを意味します。セキュリティ制御をバイパスする方法。多くの場合、攻撃者はターゲットの環境内の検出されていない場所から「本番環境」で攻撃をテストし、ツールやコモディティマルウェアなどのペイロードを展開します。これらのツールやペイロードがウイルス対策製品によって検出されてブロックされた場合、攻撃者は単に別のツールを入手したり、ペイロードを変更したり、遭遇したセキュリティ製品を改ざんしたりします。このような検出は、既存のソリューションが機能しているという誤った安心感を SOC に与える可能性があります。ただし、これらは単に煙幕として機能し、攻撃者が成功の可能性が高い攻撃チェーンをさらに調整できるようにする可能性があります。したがって、攻撃がバックアップまたはシャドウコピーを削除するアクティブな攻撃段階に達すると、ランサムウェアの展開から数分後に攻撃が開始されます。攻撃者は、データの流出などの有害なアクションをすでに実行している可能性があります。この知識は、ランサムウェアに対応する SOC にとって重要です。アラートの調査や Cobalt Strike などのツールの検出を優先し、迅速な修復アクションとインシデント対応 (IR) 手順を実行することは、ランサムウェアの展開段階の前に人間の敵を封じ込めるために重要です。

流出と二重恐喝

ランサムウェアの攻撃者は、重要なシステムへのアクセスを無効にし、システムのダウンタイムを引き起こすだけで利益を得ていることがよくあります。この単純な手法は、多くの場合、被害者に支払いを促しますが、侵害されたネットワークへのアクセスを攻撃者が収益化できる唯一の方法ではありません。データの流出と、身代金が支払われなかった場合に攻撃者がデータを漏洩すると脅迫することを指す「二重恐喝」も、多くの RaaS アフィリエイトプログラムで一般的な戦術になっています。攻撃者は一般的な弱点を利用してデータを盗み出し、ペイロードを展開することなく身代金を要求します。

この傾向は、セキュリティ製品や暗号化によるランサムウェアペイロードからの保護に重点を置くか、バックアップをランサムウェアに対する主な防御策と見なすと、包括的な強化ではなく、ランサムウェアの前に発生する人間が操作するランサムウェア攻撃のすべての段階に対してネットワークが脆弱になることを意味します。展開。この流出は、Rclone などのツールを使用して外部サイトと同期したり、電子メールトランスポートルールを設定したり、ファイルをクラウドサービスにアップロードしたりするという形をとる可能性があります。二重恐喝により、攻撃者はランサムウェアを展開する必要がなく、金銭をゆすり取るためにダウンタイムを引き起こします。一部の攻撃者は、ランサムウェアペイロードを展開する必要性を超えて、直接恐喝モデルに移行したり、クラウドリソースを直接削除することで攻撃の破壊的な目的を実行したりしています。そのような恐喝攻撃者の 1 つが DEV-0537 (LAPSUS$ としても知られています) です。

永続的で卑劣なアクセス方法

身代金を支払っても、影響を受けるネットワークへのリスクが軽減されない可能性があり、サイバー犯罪者に資金を提供するだけになる可能性があります。攻撃者の要求に屈したからといって、攻撃者が「荷物をまとめて」ネットワークから離れることは保証されません。攻撃者は、一度アクセスできるようになるとネットワークにとどまることを決意し、正常に排除されない場合、さまざまなマルウェアまたはランサムウェアのペイロードを使用して攻撃を繰り返し収益化することがあります。

サイバー犯罪経済の移行に伴うさまざまな攻撃者間のハンドオフは、ランサムウェア攻撃で使用されるものとはまったく異なる一連のツールを使用して、侵害された環境で複数の攻撃者が存続し続ける可能性があることを意味します。たとえば、バンキング型トロイの木馬によって取得された最初のアクセスは、Cobalt Strike の展開につながりますが、アクセスを購入した RaaS アフィリエイトは、TeamViewer などの検出されにくいリモートアクセスツールを使用して、ネットワーク上で持続性を維持し、より広範な一連のネットワークを運用することを選択する場合があります。キャンペーン。 Cobalt Strike などのマルウェアインプラントに対して永続化するための正当なツールと設定を使用することは、ランサムウェア攻撃者の間で検出を回避し、より長くネットワークに常駐するための一般的な手法です。

Microsoft が使用されていることを確認した永続化のための一般的なエンタープライズツールと手法には、次のようなものがあります。

AnyDesk
Ateraリモート管理
ngrok.io
リモートマニピュレータシステム
スプラッシュトップ
チームビューア

攻撃者が特権アクセスを取得すると実行するもう 1 つの一般的な手法は、ローカルまたは Active Directory に新しいバックドアユーザーアカウントを作成することです。これらの新しく作成されたアカウントは、仮想プライベートネットワーク (VPN) やリモートデスクトップなどのリモートアクセスツールに追加でき、ネットワーク上で正当に見えるアカウントを介したリモートアクセスを許可します。ランサムウェアの攻撃者は、システムの設定を編集してリモートデスクトップを有効にし、プロトコルのセキュリティを低下させ、新しいユーザーを Remote Desktop Users グループに追加することも確認されています。

ハンズオンキーボード展開に最初にアクセスするまでの時間は、グループとそのワークロードまたは動機によって大きく異なります。一部の活動グループは、何千もの潜在的なターゲットにアクセスし、人員配置が許す限りこれらを処理し、数か月にわたる潜在的な身代金支払いに基づいて優先順位を付けることができます.一部の活動グループはリソースの豊富な大企業にアクセスできる場合がありますが、数時間または数日で攻撃を実行できるため、全体的な身代金を抑えて小規模な企業を攻撃することを好みます。さらに、重大なインシデントに対応できない企業の方が、投資収益率が高くなります。数千万ドルの身代金は大きな注目を集めていますが、開発にはさらに時間がかかります。多くのグループは、1 か月に 5 ～ 10 個の小さなターゲットを身代金を要求することを好みます。これらのターゲットでは、支払いを受け取る成功率が高いからです。 IR チームを雇う余裕のない小規模な組織は、何百万ドルもの価値のある組織よりも、身代金として数万ドルを支払う可能性が高くなります。これは、IR の能力が発達しており、支払いに対して法的助言に従う可能性が高いためです。場合によっては、ランサムウェア関連の攻撃者がネットワークにインプラントを持ち、それをランサムアクティビティに変換しないことがあります。それ以外の場合、完全な身代金への最初のアクセス (アクセスブローカーから RaaS アフィリエイトへのハンドオフを含む) には 1 時間もかかりません。

ターゲティングと成功率を示すファネルダイアグラム。潜在的な標的組織が 2,500 あるとすると、既知のランサムウェア攻撃者に関連する 60 の遭遇活動。これらのうち、20 件が侵害に成功し、1 件の組織がランサムウェアイベントの成功を確認しています。 — 図 2. 2021 年から 2022 年までの 6 か月間の Microsoft データのサンプリングに基づく、人間が操作するランサムウェアの標的と成功率

これらの攻撃の人間主導の性質と、ランサムウェア関連の脅威アクターの制御下にある可能性のある被害者の規模は、ネットワークを強化し、これらの攻撃を初期段階で防ぐために、対象を絞った予防的なセキュリティ対策を講じる必要性を強調しています.

攻撃者とキャンペーンの詳細: 人間が操作するランサムウェア攻撃に対する脅威インテリジェンス主導の対応

組織がアクティブな攻撃者を排除するためにうまく対応するには、進行中の攻撃のアクティブな段階を理解することが重要です。バンキング型トロイの木馬の展開など、攻撃の初期段階では、システムの隔離や公開された資格情報のリセットなどの一般的な修復作業で十分な場合があります。攻撃が進行し、攻撃者が偵察活動と情報漏えいを実行するにつれて、インシデントの範囲を特定して影響に具体的に対処するインシデント対応プロセスを実装することが重要です。攻撃を理解するために脅威インテリジェンス主導の方法論を使用すると、追加の範囲設定が必要なインシデントを特定するのに役立ちます。

次のセクションでは、これらの攻撃に対するコミュニティの理解を深め、組織が自身をより適切に保護できるようにするために、次の著名なランサムウェア攻撃者とそのキャンペーンについて詳しく説明します。

Microsoft の脅威インテリジェンスは、攻撃者を追跡し、顧客を保護する取り組みの一環として、製品に直接情報を提供します。 Microsoft 365 Defender のお客様は、「ランサムウェアにリンクされた新たな脅威アクティビティグループが検出されました」というタイトルのアラートを優先する必要があります。また、人間の攻撃者がネットワーク内にいることを示すアラートに、「進行中のハンズオンキーボード攻撃」というメモを追加します。これらのアラートが発生した場合は、インシデント対応プロセスを開始して、攻撃の範囲を絞り込み、システムを分離し、攻撃者が制御できる可能性のある資格情報の制御を取り戻すことを強くお勧めします。

脅威アクターの命名に関する注意: 国家とサイバー犯罪の脅威アクターの両方を追跡するという Microsoft の継続的な取り組みの一環として、未確認の脅威アクターを「開発グループ」と呼んでいます。新たな脅威グループまたは調査中の固有の活動を示すために、「DEV」というプレフィックスを持つ命名構造を使用します。国家グループが DEV 段階から移動する場合、化学元素 (たとえば、PHOSPHOROUS や NOBELIUM) を使用して名前を付けます。一方、DEV 状態から抜け出したランサムウェアやサイバー犯罪活動グループには火山名 (ELBRUS など) を使用しています。サイバー犯罪経済では、グループ間の関係は急速に変化します。攻撃者は、他のサイバー犯罪グループから優秀な人材を雇ったり、期間限定でギグエコノミースタイルの仕事を提供する「請負業者」を使用したりすることが知られています。この変化する性質は、マイクロソフトが追跡するグループの多くが DEV としてラベル付けされていることを意味します。これは、アクティビティグループの性質を具体的に理解している場合でも同様です。

DEV-0193 クラスター (Trickbot LLC): 今日最も多作なランサムウェアグループ

現在のサイバー犯罪経済の膨大な量は、Microsoft が DEV-0193 (Trickbot LLC とも呼ばれる) として追跡している一連の活動につながっています。 DEV-0193 は、Trickbot、Bazaloader、AnchorDNS など、さまざまなペイロードの開発、配布、および管理を担当しています。さらに、DEV-0193 は、2021 年 6 月に後者がシャットダウンされる前に、Ryuk RaaS プログラムを管理し、Ryuk の後継者である Conti と Diavol. Microsoft は 2020 年 10 月から DEV-0193 の活動を追跡しており、Trickbot マルウェアの開発と配布から、現在活動している最も多作なランサムウェア関連のサイバー犯罪活動グループへと拡大していることを観察しています。

DEV-0193 の行動とサイバー犯罪ギグエコノミーの使用は、新しいメンバーやプロジェクトを追加し、請負業者を利用して侵入のさまざまな部分を実行することが多いことを意味します。他のマルウェアオペレーションが法的措置を含むさまざまな理由で閉鎖されたため、DEV-0193 はこれらのグループから開発者を雇いました。最も注目すべきは、Emotet、Qakbot、および IcedID からの開発者の買収であり、DEV-0193 の傘下に組み込まれました。

Microsoft が DEV-0365 として追跡している DEV-0193 のサブグループは、サイバー犯罪者向けのサービスとしてのインフラストラクチャを提供します。最も注目すべきは、DEV-0365 が Cobalt Strike Beacon をサービスとして提供することです。これらの DEV-0365 ビーコンは、多くのアクティブなマルウェアキャンペーンで固有の C2 インフラストラクチャに取って代わりました。 DEV-0193 インフラストラクチャは、CVE-2021-40444 の悪用を含む、新しい技術を展開する攻撃にも関与しています。

2022 年 2 月に「Conti Group」として公開されたグループから流出したチャットファイルは、Microsoft が追跡した DEV-0193 アクティビティの規模が大きいことを裏付けています。 2021 年と 2022 年のテレメトリーに基づくと、Conti は最も展開されている RaaS エコシステムの 1 つになり、他の RaaS エコシステム (DarkSide/BlackMatter および REvil) が運用を停止したにもかかわらず、複数の関連会社が同時にペイロードを展開しています。ただし、ペイロードベースの帰属は、多くのアフィリエイトが非常に異なる専門知識、スキル、および報告構造を持っていたにもかかわらず、Conti ランサムウェアの展開につながった活動の多くが「Conti グループ」に起因することを意味していました。 Conti の関連会社の中には、RaaS が提供するツールを使用して小規模な侵入を実行したものもあれば、独自の手法とツールを使用して、データの引き出しと恐喝を含む数週間にわたる操作を実行したものもあります。最も多作で成功している Conti 関連会社の 1 つであり、2021 年 8 月にリークされた「Conti マニュアル」の開発を担当した会社は、DEV-0230 として追跡されています。この活動グループはまた、FiveHands および HelloKitty ランサムウェアペイロードを開発および展開し、多くの場合、DEV-0193 の BazaLoader インフラストラクチャを介して組織にアクセスしました。

Microsoft は、2022 年 4 月 19 日以降、データで Conti の展開を観察していません。これは、注目を集める事件または FBI の DEV-0230 による Conti の展開の可視性に対応して、Conti プログラムがシャットダウンまたは中断されたことを示唆しています。コンティ関連情報報酬のお知らせ。 RaaS プログラムが終了すると予想されるように、ランサムウェアエコシステムのギグエコノミーの性質により、アフィリエイトはペイロード間を簡単に移行できます。以前に Conti を展開していた Conti 関連会社は、他の RaaS ペイロードに移行しました。たとえば、DEV-0506 は、Conti のシャットダウン前に BlackBasta をパートタイムで展開していましたが、現在は定期的に展開しています。同様に、DEV-0230 は 2022 年 4 月 23 日頃に QuantumLocker の展開に移行しました。

ELBRUS: (Un)逮捕された開発

FIN7 としても知られる ELBRUS は、2012 年から活動していることが知られており、金銭的利益を得るために幅広い業界を対象とした複数のキャンペーンを実行しています。 ELBRUS は、POS (Point-of-Sale) および ATM マルウェアを展開して、店内のチェックアウト端末から支払いカード情報を収集しました。また、SEC ファイリングに関与する個人を含む、機密の財務データにアクセスできる企業の担当者も標的にしています。

2018 年、この活動グループは、そのメンバーのうち 3 人が逮捕されたときに話題になりました。 2020 年 5 月には、ELBRUS に関与した疑いのある人物が再び逮捕されました。ただし、疑わしい個人メンバーに対する法執行措置にもかかわらず、Microsoft は、これらの期間中、ELBRUS グループ自体からの継続的なキャンペーンを観察しています。

ELBRUS は、JSSLoader や Griffon など、永続化に使用される複数のカスタムマルウェアファミリの開発と配布を担当しています。 ELBRUS はまた、「Combi Security」および「Bastion Security」と呼ばれる偽のセキュリティ会社を作成し、侵入テスターとして働くふりをして、従業員の採用を促進しています。

2020 年、ELBRUS は PoS マルウェアの使用からランサムウェアの展開に移行し、金銭目的の強要スキームの一環として、具体的には MAZE および Revil RaaS ファミリーを展開しました。 ELBRUS は、DarkSide という独自の RaaS エコシステムを開発しました。彼らは、運用の一環として DarkSide ペイロードを展開し、DarkSide ランサムウェアを展開する関連会社を募集して管理しました。ペイロードに基づいてランサムウェアインシデントを報告し、モノリシックギャングに起因するものとする傾向は、攻撃者間の真の関係を曖昧にすることがよくあります。これは、DarkSide RaaS の非常に正確なものです。好例として、最も悪名高い DarkSide 展開の 1 つは、ELBRUS ではなく、Microsoft が DEV-0289 として追跡しているサービスアフィリエイトとしてのランサムウェアによって実行されました。

ELBRUS は 2021 年 5 月に DarkSide ランサムウェアエコシステムを廃止し、その後継の BlackMatter を 2021 年 7 月にリリースしました。ELBRUS は、DarkSide のパターンを複製して BlackMatter を展開し、アフィリエイト向けの RaaS プログラムを実行しました。その後、活動グループは 2021 年 11 月に BlackMatter ランサムウェアエコシステムを廃止しました。

彼らが RaaS プログラムを実行していることは現在公には観察されていませんが、ELBRUS は、JSSLoader および Griffon マルウェアにつながるフィッシングキャンペーンを介して組織を侵害することに非常に積極的です。 2019 年以来、ELBRUS は DEV-0324 と提携してマルウェアインプラントを配布しています。 DEV-0324 は、サイバー犯罪経済のディストリビューターとして機能し、フィッシングやエクスプロイトキットのベクターを通じて他の攻撃者のペイロードを配布するサービスを提供します。 ELBRUS はまた、2022 年 4 月に Exchange で CVE-2021-31207 を悪用して組織を侵害しました。これは、脆弱性の ProxyShell クラスターであまり一般的ではない認証済みの脆弱性を使用するという興味深い方向転換です。この悪用により、彼らは、Exchange Server の認証されていない脆弱性のみにパッチを適用した組織を標的にし、侵害された低特権ユーザーの資格情報を Exchange Server 上の SYSTEM としての高特権アクセスに変えることができました。

DEV-0504: RaaS プログラムの盛衰を反映したペイロードのシフト

ランサムウェアペイロードのみに基づいたクラスタリングアクティビティが、攻撃の背後にいる攻撃者を難読化する方法の好例は、DEV-0504 です。 DEV-0504 は 2020 年以降、少なくとも 6 つの RaaS ペイロードを展開しており、その攻撃の多くは「REvil ギャング」または「BlackCat ランサムウェアグループ」に起因する注目を集めるインシデントになっています。この属性は、DEV-0504 傘下の一連の攻撃者 (他の REvil および BlackCat 関連会社を含む) の行動を覆い隠します。これにより、ランサムウェアの問題の規模に関する混乱した話が生まれ、単一の RaaS プログラムのシャットダウンが脅威環境に与える可能性のある影響が過大評価されました。

DEV-0504 のランサムウェアペイロードを時系列で示すタイムライン。 — 図 3. 2020 年から 2022 年 6 月の間に DEV-0504 によって配布されたランサムウェアペイロード

DEV-0504 は、たとえば REvil や BlackMatter の廃止など、RaaS プログラムがシャットダウンしたとき、またはより利益率の高いプログラムが登場したときに、ペイロードをシフトします。これらの市場のダイナミクスは DEV-0504 に固有のものではなく、ほとんどの RaaS アフィリエイトに反映されています。また、RaaS アフィリエイトが、RaaS が利用できない場合や、RaaS プログラムに関連する料金を支払いたくない場合に購入できる、Phobos のような古い「完全所有」のランサムウェアペイロードに切り替えるという、さらに極端な行動に現れることもあります。 .

DEV-0504 は、アクセスブローカーがアクセスを購入した可能性がある Cobalt Strike Beacon を使用して、ネットワークに侵入することに依存しているようです。ネットワーク内に入ると、PsExec に大きく依存して横方向に移動し、ペイロードをステージングします。彼らの手法では、昇格された資格情報を侵害する必要があり、改ざん防止で保護されていないウイルス対策製品を無効にすることがよくあります。

DEV-0504 は、2022 年 1 月にエネルギー部門の企業に BlackCat ランサムウェアを展開する責任がありました。同じ頃、DEV-0504 は BlackCat を展開して、ファッション、タバコ、IT、製造業などの企業に対する攻撃も行いました。 BlackCat は、2022 年 6 月の時点で DEV-0504 の主要なペイロードのままです。

DEV-0237: 多作な協力者

DEV-0504 と同様に、DEV-0237 は豊富な RaaS アフィリエイトであり、利用可能なものに基づいてさまざまなペイロードを切り替えて運用しています。 DEV-0237 は Trickbot LLC/DEV-0193 の Ryuk および Conti ペイロードを頻繁に使用し、最近では Hive ペイロードを使用しました。公に文書化された多くのリュークとコンティのインシデントとトレードクラフトは、DEV-0237 にまでさかのぼることができます。

アクティビティグループがペイロードとして Hive に切り替えた後、Hive インシデントの大幅な増加が観察されました。 2022 年 3 月に BlackCat RaaS に切り替えたのは、Hive の復号化方法論に関する公の言説が原因であると疑われています。つまり、DEV-0237 は BlackCat に切り替えた可能性があります。なぜなら、彼らは Hive のデクリプタにビジネスを中断させたくなかったからです。 DEV-0237 が低価値のターゲットで新しい RaaS プログラムを実験したため、ペイロードの重複が発生しました。一部のペイロードを実験して、後で放棄することが観察されています。

図 4. 2020 年から 2022 年 6 月の間に DEV-0237 によって配布されたランサムウェアペイロード

RaaS ペイロードを超えて、DEV-0237 はサイバー犯罪者のギグエコノミーを使用して、ネットワークへの初期アクセスも取得します。 DEV-0237 の拡散と成功率の一部は、独自の初期侵害とマルウェア開発を実行するのではなく、他のグループのネットワーク侵入作業とマルウェアインプラントを積極的に利用することに起因しています。

DEV-0237 と DEV-0447、DEV-0387、および DEV-0193 の関係を示す関係図。 — 図 5. DEV-0237 と他のサイバー犯罪グループとの関係の例

すべての RaaS オペレーターと同様に、DEV-0237 は、ネットワーク内に入ると、侵害された高度な特権を持つアカウント資格情報とセキュリティの弱点に依存しています。 DEV-0237 は、購入したマルウェアによって投下された Cobalt Strike Beacon や、SharpHound などのツールを利用して偵察を行うことがよくあります。このグループは、BITSadmin /transfer を利用してペイロードをステージングすることがよくあります。 Ryuk と Conti の展開のよく文書化される商標は、ランサムウェアペイロードにxxx.exeという名前を付けることです。これは、最近 BlackCat で観察されたように、展開している RaaS に関係なく、DEV-0237 が引き続き使用する伝統です。 2022 年 3 月下旬、DEV-0237 が新しいバージョンの Hive を再び使用していることが確認されました。

2022 年 5 月、DEV-0237 は定期的に Nokoyawa の展開を開始しました。このペイロードは、グループが以前に Hive を使用していないときに実験していたことが観察されました。このグループは、同じ期間に BlackCat などの他のペイロードを使用していましたが、Nokoyawa はより定期的にツールキットに組み込まれるようになりました。 2022 年 6 月までに、DEV-0237 は依然として主に Hive を展開し、時には Nokoyawa を展開していましたが、Agenda や Mindware などの他のランサムウェアペイロードを実験していることが確認されました。

DEV-0237 は、Cobalt Strike を置き換えるために他のツールを攻撃に導入することを観察した数人のアクターの 1 つでもあります。 Cobalt Strike の遍在性と目に見える影響により、セキュリティ組織の検出が改善され、意識が高まり、攻撃者による使用の減少が観察されました。 DEV-0237 は現在、攻撃に SystemBC RAT と侵入テストフレームワークSliverを使用しており、Cobalt Strike を置き換えています。

DEV-0450 および DEV-0464: ランサムウェア展開のための Qakbot の配布

普及しているトロイの木馬が、コモディティマルウェアからランサムウェアの足がかりへと進化したことは、 Emotet 、 Trickbot 、および BazaLoader の影響によって十分に文書化されています。別の広く配布されているマルウェアであるQakbotも、RaaS アフィリエイトへのハンドオフにつながります。 Qakbot は電子メールで配信され、多くの場合、Office ドキュメント内の悪意のあるマクロによってダウンロードされます。 Qakbot の最初のアクションには、システムとネットワークのプロファイリングと、後でマルウェア配布キャンペーンのテンプレートとして使用するための電子メール (.eml ファイル) の抽出が含まれます。

Qakbot は広範囲のネットワークで流行しており、感染の成功に基づいて拡散と拡大を続けています。 Microsoft は DEV-0450 と DEV-0464 を Qakbot ディストリビューターとして追跡しており、ランサムウェア攻撃が観察されています。 DEV-0450 は、「大統領」をテーマにした Qakbot を配布し、マルウェアキャンペーンでアメリカの大統領の名前を使用します。一方、DEV-0464 は「TR」Qakbot と SquirrelWaffle などの他のマルウェアを配布します。 DEV-0464 はまた、Microsoft Support Diagnostic Tool (MSDT) の脆弱性 ( CVE-2022-30190 ) をキャンペーンで急速に採用しました。悪意のあるマクロと MSDT の悪用は、Office が子プロセスを作成しないようにすることでブロックできます。これについては、以下の強化ガイダンスで詳しく説明します。

歴史的に、Qakbot の感染は通常、DEV-0216、DEV-0506、および DEV-0826 によるハンズオンキーボードアクティビティとランサムウェアの展開につながります。 DEV-0506 は以前に Conti を展開していましたが、2022 年 4 月 8 日頃に Black Basta の展開に切り替えました。このグループは、独自のインフラストラクチャを維持する代わりに、DEV-0365 の Cobalt Strike Beacon インフラストラクチャを使用しています。 2022 年 9 月下旬、Microsoft は DEV-0506 が Cobalt Strike Beacon だけでなく、ハンズオンキーボードアクセスを容易にするツールとして Brute Ratel を追加したことを確認しました。

Qakbot 感染からアクセスを得たもう 1 つの RaaS アフィリエイトは DEV-0216 で、独自の Cobalt Strike Beacon インフラストラクチャを維持しており、Egregor、Maze、Lockbit、REvil、および Conti のアフィリエートとして多数の影響の大きいインシデントで活動しています。 Microsoft は、DEV-0464 および DEV-0450 感染から始まった DEV-0216 ランサムウェアインシデントを確認しなくなりました。これは、Qakbot 経由でアクセスを取得していない可能性があることを示しています。

DEV-0206 と DEV-0243: 「悪」のパートナーシップ

検索エンジンの広告を取り出してマルウェアのペイロードを誘導することを指すマルバタイジングは、多くのキャンペーンで使用されてきましたが、Microsoft が DEV-0206 として追跡しているアクセスブローカーは、ネットワークへのアクセスとプロファイリングを取得するための主要な手法としてこれを使用しています。ターゲットは、ブラウザの更新やソフトウェアパッケージを装った広告に誘われて、ZIP ファイルをダウンロードし、ダブルクリックします。 ZIP パッケージには、ほとんどの環境でダブルクリックすると実行される JavaScript ファイル (.js) が含まれています。デフォルトでスクリプトハンドラーではなくテキストエディターでスクリプトファイルを開くように設定を変更した組織は、ユーザーがスクリプトをダブルクリックしても、この脅威からほとんど影響を受けません。

正常に実行されると、 SocGholishとも呼ばれる JavaScript フレームワークは、DEV-0206 から購入したアクセス (最も一般的な Cobalt Strike ペイロード) を使用する他のマルウェアキャンペーンのローダーとして機能します。これらのペイロードは、多くの場合、DEV-0243 に起因するカスタム Cobalt Strike ローダーにつながっています。 DEV-0243 は、サイバーインテリジェンス業界が「EvilCorp」として追跡している活動に該当します。カスタムの Cobalt Strike ローダーは、公的に文書化されたBlisterマルウェアの内部ペイロードで見られるものと類似しています。 DEV-0206 との DEV-0243 の最初のパートナーシップでは、グループは WastedLocker として知られるカスタムランサムウェアペイロードを展開し、その後、PhoenixLocker や Macaw など、社内で開発された追加の DEV-0243 ランサムウェアペイロードに拡張しました。

2021 年 11 月頃、DEV-0243 は侵入に LockBit 2.0 RaaS ペイロードの展開を開始しました。「EvilCorp」活動グループによる RaaS ペイロードの使用は、DEV-0243 によるグループへの帰属を回避するための試みである可能性が高く、制裁を受けているため支払いが妨げられる可能性があります。

DEV-0206 が標的組織へのアクセスを取得し、JavaScript インプラントを展開することを示す攻撃チェーン図。その後、DEV-0243 はハンズオンキーボードアクションを開始します。 — 図 6. DEV-0206 から DEV-0243 への引き継ぎ

2022 年 7 月 26 日、マイクロソフトの研究者は、FakeUpdates マルウェアが既存の Raspberry Robin 感染を介して配信されていることを発見しました。 Raspberry Robin は、Red Canary によって最初に公開された USB ベースのワームです。影響を受けたシステムでの DEV-0206 関連の FakeUpdates 活動は、その後、DEV-0243 ランサムウェア以前の動作に似た後続のアクションにつながっています。

DEV-0401: 中国を拠点とする一匹狼が LockBit 2.0 アフィリエイトに転身

ここで取り上げる他の RaaS 開発者、アフィリエイト、およびアクセスブローカーとは異なり、DEV-0401 は、初期アクセスからランサムウェアの開発まで、攻撃ライフサイクルのすべての段階に関与する活動グループのようです。それにもかかわらず、彼らは、ランサムウェアペイロードの頻繁なブランド変更により、RaaS オペレーションの成功からインスピレーションを得ているようです。 DEV-0401は、Microsoft が追跡している人間が操作するランサムウェア脅威アクターの中で唯一のものであり、中国を拠点とする活動グループであることが確認されています。

DEV-0401 は、既存のマルウェアインプラントや公開された RDP へのアクセスを購入してネットワークに侵入する多くの攻撃者とは異なります。代わりに、このグループは、Exchange、Manage Engine AdSelfService Plus、Confluence、およびLog4j 2の脆弱性を含む、パッチが適用されていない脆弱性を多用してネットワークにアクセスしています。彼らが好んだ脆弱性の性質により、DEV-0401 は攻撃の初期アクセス段階で昇格された資格情報を取得します。

ネットワーク内に入ると、DEV-0401 は横方向の移動に Cobalt Strike や WMI を使用するなどの標準的な手法に依存しますが、これらの動作を実装するための独自の設定がいくつかあります。彼らの Cobalt Strike Beacon は、DLL 検索順序の乗っ取りによって頻繁に起動されます。彼らは、WMI のラテラルムーブメントに共通の Impacket ツールを使用していますが、名前を変更した出力ファイルを作成するツールのカスタマイズされたバージョンのwmiexec.pyモジュールを使用しており、静的な検出を回避する可能性が最も高いです。ランサムウェアの展開は、最終的に、共有内のバッチファイルとグループポリシーから実行されます。通常は、ドメインコントローラーの NETLOGON 共有に書き込まれます。攻撃者は、このアクションを実行するために、ドメイン管理者などの高度な特権資格情報を取得する必要があります。

DEV-0401 のランサムウェアペイロードを時系列で示すタイムラインダイアグラム — 図 7. 2021 年から 2022 年 4 月の間に DEV-0401 によって配布されたランサムウェアペイロード

DEV-0401 は、独自のランサムウェアペイロードを維持し、頻繁に再ブランド化するため、ペイロード主導のレポートで別のグループとして表示され、検出とそれらに対するアクションを回避できます。それらのペイロードは、Babuk ランサムウェアファミリとコードの類似性を共有する Rook などの既存の購入用ランサムウェアツールから再構築されることがあります。 2022 年 2 月、主にLog4j 2 CVE-2021-44228 脆弱性に対して脆弱な、パッチが適用されていない VMware Horizon システムを介して、Pandora ランサムウェアファミリを展開する DEV-0401 が確認されました。

多くの RaaS オペレーターと同様に、DEV-0401 は漏えいしたデータを投稿し、被害者に支払いを促すためにリークサイトを維持していました。被害者は支払いを試みます。おそらく被害者の支払いの問題に関連した顕著な変化として、DEV-0401 は 2022 年 4 月にLockBit 2.0 ランサムウェアペイロードの展開を開始しました。

DEV-0537: 恐喝から破壊へ

ランサムウェアペイロードを展開せずに純粋な恐喝と破壊モデルに移行した脅威アクターの例は、Microsoft が DEV-0537 (別名 LAPSUS$) として追跡しているアクティビティグループです。 Microsoft は、このブログで2022 年初頭に行われた DEV-0537 のアクションについて詳しく説明しています。 DEV-0537 は、主にラテンアメリカの組織を標的にし始めましたが、政府機関、テクノロジー、通信、小売業者、医療など、グローバルな標的に拡大しました。日和見型の攻撃者とは異なり、DEV-0537 は意図的に特定の企業を標的にします。彼らの初期アクセス技術には、インターネットに接続されたシステムのパッチが適用されていない脆弱性の悪用、資格情報の公開コードリポジトリの検索、脆弱なパスワードの利用が含まれます。さらに、DEV-0537 は Redline パスワードスティーラーによって盗まれた資格情報を利用しているという証拠があります。Redline パスワードスティーラーは、サイバー犯罪経済で購入可能なマルウェアの一部です。このグループは、他のパスワードを盗むマルウェアによって収集された地下フォーラムから資格情報も購入します。

ネットワークへの最初のアクセスが得られると、DEV-0537 はセキュリティの設定ミスを利用して権限を昇格させ、横方向に移動してデータの流出と恐喝の目的を達成します。 DEV-0537 には独自の技術的能力はありませんが、このグループは特にクラウドを意識しています。彼らは、クラウド管理者アカウントを標的にして、電子メールを盗み出すための転送ルールを設定し、クラウド環境の管理設定を改ざんします。身代金の支払いを強制するという目標の一環として、DEV-0537 はすべてのサーバーインフラストラクチャとデータを削除してビジネスの混乱を引き起こそうとします。目標の達成をさらに促進するために、正当な管理者を排除し、クラウドリソースとサーバーインフラストラクチャを削除して、破壊的な攻撃を行います。

また、DEV-0537 はクラウド管理者権限を利用して、電子メール、チャット、VOIP 通信を監視し、侵入に対するインシデント対応の取り組みを追跡します。 DEV-0537 は、攻撃を通知するために応答を監視するだけでなく、身代金を要求するためにミュートを解除し、被害者のデータとリソースを削除している間、画面を共有して、インシデント対応の電話に参加することが何度も観察されています。

ランサムウェアに対する防御: 検出による保護の先へ

決定的な人間の敵に対する永続的なセキュリティ戦略には、攻撃のクラスを軽減し、それらを検出するという目標が含まれている必要があります。ランサムウェア攻撃は、複数の異なるセキュリティ製品アラートを生成しますが、それらは簡単に失われたり、時間内に応答されなかったりする可能性があります.アラート疲労は現実のものです。SOC は、アラートの傾向を調べたり、アラートをインシデントにグループ化して全体像を把握したりすることで、作業を楽にすることができます。その後、SOC は、attack surface reduction ルールなどの強化機能を使用してアラートを軽減できます。一般的な脅威に対する強化により、アラートの量を減らし、多くの攻撃者がネットワークにアクセスする前に阻止できます。

攻撃者は技術を微調整し、セキュリティ製品を回避して無効にするツールを持っています。彼らはシステム管理にも精通しており、可能な限り溶け込もうとします。しかし、攻撃は着実に継続し、影響力を増していますが、攻撃者が使用する攻撃手法は何年にもわたってあまり変わっていません。したがって、潮流を抑えるために、予防に新たな焦点を当てる必要があります。

ランサムウェアの攻撃者は簡単に利益を得ようとする動機を持っているため、サイバー犯罪経済を混乱させるには、セキュリティを強化してコストを増やすことが重要です。

クレデンシャルの衛生状態を構築する

攻撃者が攻撃を成功させるには、マルウェア以上に資格情報が必要です。ランサムウェアの展開が成功したほとんどすべての攻撃で、攻撃者は、環境全体で一貫したドメイン管理者レベルのアカウントまたはローカル管理者のパスワードにアクセスできました。その後、グループポリシーまたは PsExec などのツール (または PAExec、CSExec、WinExeSvc などのクローン) を使用して展開を行うことができます。ネットワークで管理アクセスを提供する資格情報がなければ、ランサムウェアを複数のシステムに拡散させることは、攻撃者にとってより大きな課題となります。侵害された資格情報はこれらの攻撃にとって非常に重要であるため、サイバー犯罪者が不正に取得したネットワークへのアクセスを販売する場合、多くの場合、価格には最初から保証された管理者アカウントが含まれています.

資格情報の盗難は、一般的な攻撃パターンです。多くの管理者は、Mimikatz や LaZagne などのツールと、LSASS プロセスの対話型ログオンからパスワードを盗むそれらの機能を知っています。ほとんどのセキュリティ製品では、LSASS プロセスにアクセスするこれらのツールが検出されます。ただし、資格情報の漏洩のリスクは、ワークステーションに対話的にログインするドメイン管理者だけに限定されません。攻撃者は、攻撃中に多くのネットワークにアクセスして調査したため、一般的なネットワーク構成に関する深い知識を持ち、それを有利に利用しています。彼らが悪用するよくある設定ミスの 1 つは、サービスとスケジュールされたタスクを高度な権限を持つサービスアカウントとして実行することです。

多くの場合、従来の構成では、ミッションクリティカルなアプリケーションが確実に動作するように、最大限の権限を付与しています。多くの組織は、この問題を知っていても、アプリケーションを壊すのではないかと恐れて、この問題を解決するのに苦労しています。この構成は、管理者アクセス権を持つユーザーがアクセスできるレジストリの LSA Secrets 部分に高度な特権資格情報が公開されたままになるため、特に危険です。ローカル管理者権限がエンドユーザーから削除されていない組織では、攻撃者は、バンキングトロイの木馬のような最初の攻撃から、ドメイン管理者から 1 ホップ離れた場所にいる可能性があります。クレデンシャルの衛生状態を構築するには、権限に基づいてネットワークの論理的なセグメンテーションを開発します。これをネットワークのセグメンテーションと一緒に実装して、ラテラルムーブメントを制限します。

組織が Credential Hygiene を構築するために実行できるいくつかの手順を次に示します。

管理者特権が必要な場合は、ローカルシステムとしてサービスを実行することを目指します。これにより、アプリケーションはローカルで高い特権を持つことができますが、横方向の移動には使用できません。他のリソースにアクセスするときは、ネットワークサービスとしてサービスを実行します。
LUA Buglightなどのツールを使用して、アプリケーションが本当に必要とする権限を判断します。
ログオンタイプが 2、4、5、または 10で、アカウントがドメイン管理者のように高い特権を持っている EventID 4624 のイベントを探します。これにより、管理者は、LSASS または LSA シークレットを介した盗難に対して脆弱な資格情報を把握できます。理想的には、ドメイン管理者のような高度な特権を持つアカウントは、メンバーサーバーまたはワークステーションに公開しないでください。
特権グループからアカウントを削除するときに、Windows イベント転送で EventID 4625 (ログオン失敗イベント) を監視します。アプリケーションを実行し続けるために限られたマシンのセットのローカル管理者グループにそれらを追加すると、ドメイン管理者として実行する場合と比べて、攻撃の範囲が縮小されます。
ローカル管理者パスワードソリューション (LAPS) などのツールを使用してローカル管理者パスワードをランダム化し、共有パスワードを持つローカルアカウントを使用したラテラルムーブメントを防止します。
オンプレミスの Active Directory シグナルを活用するクラウドベースの ID セキュリティソリューションを使用して、ID 構成を可視化し、脅威や侵害された ID を特定して検出します

資格情報の公開の監査

資格情報の公開を監査することは、ランサムウェア攻撃やサイバー犯罪全般を防止する上で重要です。 BloodHoundは、当初、ネットワーク防御者が環境内の管理者の数を把握できるようにするために設計されたツールです。また、管理者アカウントに関連付けられている特権を減らし、資格情報の露出を理解するための強力なツールにもなります. IT セキュリティチームと SOC は、このツールの許可された使用法と連携して、公開された資格情報の削減を可能にすることができます。 BloodHound を展開するチームは、悪意のある使用がないか注意深く監視する必要があります。また、この検出ガイダンスを使用して、悪意のある使用を監視することもできます。

マイクロソフトは、ランサムウェアの攻撃者が攻撃に BloodHound も使用していることを確認しています。 BloodHound が悪意を持って使用されると、攻撃者は、アクセスできるシステムから Azure のドメイン管理者アカウントやグローバル管理者アカウントなどの高度な特権を持つアカウントへの抵抗が最も少ないパスを確認できます。

Active Directory 更新プログラムの展開の優先順位付け

Active Directory のセキュリティパッチは、リリース後できるだけ早く適用する必要があります。 Microsoft は、公開されてから 1 時間以内に認証の脆弱性を採用するランサムウェア攻撃者を目撃しており、それらの脆弱性が Mimikatz のようなツールに組み込まれるとすぐに.ランサムウェアアクティビティグループも、ZeroLogon や PetitPotam などの認証に関連する脆弱性を急速に取り入れており、特に Mimikatz のようなツールキットに含まれている場合はそうです。パッチが適用されていない場合、これらの脆弱性により、攻撃者は電子メールなどの入り口ベクトルからドメイン管理者レベルの権限に急速にエスカレートする可能性があります。

クラウド強化

攻撃者がクラウドリソースに移行するにつれて、オンプレミスアカウントだけでなく、クラウドリソースと ID を保護することが重要になります。組織がクラウド環境を強化する方法は次のとおりです。

クラウド ID の強化

次のような ID インフラストラクチャをセキュリティで保護するためのAzure セキュリティベンチマークと一般的なベストプラクティスを実装します。
- クラウドへの水平移動を防ぐために、オンプレミスのサービスアカウントがクラウドリソースに対する直接的な権限を持たないようにします。
- 「ガラスを破る」アカウントのパスワードがオフラインで保存されていることを確認し、アカウントの使用のためにハニートークンアクティビティを構成します。
- Microsoft のゼロトラスト原則を適用する条件付きアクセスポリシーを実装します。
リスクベースのユーザーサインイン保護を有効にし、脅威への対応を自動化して、すべての場所からの高リスクのサインインをブロックし、中リスクのサインインに対して MFA を有効にします。
最新の認証方法で VPN アクセスが保護されていることを確認します。

多要素認証 (MFA)

すべてのアカウントに MFA を適用し、MFA から除外されたユーザーを削除し、常にすべての場所のすべてのデバイスにMFAを厳密に要求します。
パスワードレスをサポートするアカウントに対して、パスワードレスの認証方法 (Windows Hello、FIDO キー、Microsoft Authenticator など) を有効にします。パスワードが必要なアカウントについては、Microsoft Authenticator for MFA などの認証アプリを使用してください。さまざまな認証方法と機能については、この記事を参照してください。
ワークロード ID を特定して保護し、従来の MFA の適用が適用されないアカウントを保護します。
予期しない 2 要素認証 (2FA) を受け入れないことについて、ユーザーが適切に教育されていることを確認します。
オーセンティケーターアプリを使用する MFA の場合、ユーザーがプロンプトで [はい] をクリックしたために、MFA が有効になっている多くの侵入 (DEV-0537 によるものを含む) が引き続き成功するように、可能な限りアプリでコードの入力を要求するようにします。コンピューターの前にいなくても電話できます。例については、この記事を参照してください。
従来の認証を無効にします。

クラウド管理者

クラウド管理者/テナント管理者が、ドメイン管理者と同じレベルのセキュリティと資格情報衛生で扱われるようにします。
認証範囲のギャップに対処します。

セキュリティの盲点への対処

観察されたほぼすべてのランサムウェアインシデントで、攻撃に関与した少なくとも 1 つのシステムに、攻撃者が保護を無効にしたり、検出を回避したりすることができるセキュリティ製品の構成ミスがありました。多くの場合、アクセスブローカーの最初のアクセスは、ウイルス対策や EDR ソリューションによって保護されていないレガシーシステムです。高度な特権を持つ資格情報にアクセスできるこれらのシステムでは、セキュリティ制御が欠如しているため、攻撃者が単一のシステムからランサムウェアと流出の攻撃チェーン全体を検出することなく実行できる盲点として機能することを理解することが重要です。場合によっては、これは特にアクセスブローカーが販売する機能として宣伝されます。

組織は、セキュリティツールが最も安全な構成で実行されていることを確認して確認し、定期的なネットワークスキャンを実行して、適切なセキュリティ製品がサーバーを含むすべてのシステムを監視および保護していることを確認する必要があります。これが不可能な場合は、レガシーシステムがファイアウォールを介して物理的に分離されているか、他のシステムと資格情報が重複しないようにして論理的に分離されていることを確認してください。

Microsoft 365 Defender のお客様は、次のチェックリストによってセキュリティの盲点が解消されます。

Microsoft Defender ウイルス対策でクラウド提供の保護を有効にして、急速に進化する攻撃者のツールと手法をカバーし、新しい未知のマルウェアの亜種をブロックし、攻撃面の削減ルールと改ざん保護を強化します。
改ざん防止機能を有効にして、攻撃者がセキュリティサービスを停止できないようにします。
Microsoft Defender for Endpoint が、Microsoft 以外のウイルス対策が脅威を検出しない場合や Microsoft Defender ウイルス対策がパッシブモードで実行されている場合でも、悪意のあるアーティファクトをブロックできるように、 EDR をブロックモードで実行します。ブロックモードの EDR は、Microsoft 脅威インテリジェンスチームによって事前に特定されたインジケーターもブロックします。
ネットワーク保護を有効にして、アプリケーションやユーザーがインターネット上の悪意のあるドメインやその他の悪意のあるコンテンツにアクセスするのを防ぎます。
完全に自動化されたモードで調査と修復を有効にして、Microsoft Defender for Endpoint がアラートに対して即座にアクションを実行して違反を解決できるようにします。
デバイス検出を使用して、管理されていないデバイスを見つけて Microsoft Defender for Endpoint にオンボードすることで、ネットワークの可視性を高めます。
Microsoft Defender for Identity を使用して、ユーザーの ID と資格情報を保護します。これは、オンプレミスの Active Directory シグナルを利用してユーザーの行動を監視および分析し、疑わしいユーザーアクティビティ、構成の問題、アクティブな攻撃を特定するクラウドベースのセキュリティソリューションです。

攻撃面の縮小

Microsoft 365 Defender のお客様は、攻撃面の削減ルールを有効にして、ランサムウェア攻撃で使用される一般的な攻撃手法を防ぐことができます。これらのルールは、EDR ソリューションを使用しているユーザーだけでなく、Microsoft Defender ウイルス対策のすべてのユーザーが構成でき、攻撃に対する大幅な強化を提供します。いくつかのランサムウェアに関連するアクティビティグループからの攻撃が観察されましたが、次のルールを有効にしている Microsoft のお客様は、初期段階で攻撃を緩和し、キーボード操作によるアクティビティを防ぐことができました。

一般的なエントリベクトル:
- すべての Office アプリケーションが子プロセスを作成できないようにする
- Office 通信アプリケーションが子プロセスを作成できないようにする
- Office アプリケーションによる実行可能コンテンツの作成をブロックする
- Office アプリケーションが他のプロセスにコードを挿入するのをブロックする
- 難読化されている可能性のあるスクリプトの実行をブロックする
- JavaScript または VBScript がダウンロードした実行可能コンテンツを起動するのをブロックする
ランサムウェアの展開とラテラルムーブメントステージ (防御する攻撃のステージに基づく影響の順):
- 普及率、年齢、または信頼できるリストの基準を満たさない限り、実行可能ファイルの実行をブロックします
- Windows ローカルセキュリティ機関サブシステム (lsass.exe) からの資格情報の盗用をブロックする
- PsExec および WMI コマンドからのブロックプロセスの作成
- ランサムウェアに対する高度な保護を使用する

さらに、Microsoft はOffice アプリケーションの既定の動作を変更して、インターネットからファイル内のマクロをブロックし、人間が操作する多くのランサムウェア攻撃やその他の脅威の攻撃面をさらに減らしました。

インターネットに面した資産を強化し、境界を理解する

組織は、攻撃者がネットワークへのアクセスに使用する可能性のある境界システムを特定して保護する必要があります。 RiskIQなどのパブリックスキャンインターフェイスを使用して、データを補強できます。攻撃者にとって重要であると見なされ、強化が必要なシステムには次のものがあります。

MFA を使用してリモートデスクトッププロトコル (RDP) または Windows Virtual Desktop エンドポイントを保護し、パスワードスプレーやブルートフォース攻撃に対して強化します。
環境内で使用されていない場合は、境界ファイアウォールルールなどのネットワークブロックを介して、Teamviewer、Splashtop、Remote Manipulator System、Anydesk、Atera Remote Management、ngrok.io などのリモート IT 管理ツールをブロックします。これらのシステムが環境で使用されている場合は、MFA を実装できる場所でセキュリティ設定を実施してください。

ランサムウェアの攻撃者とアクセスブローカーも、特に初期アクセス段階で、すでに公開されているかゼロデイであるかにかかわらず、パッチが適用されていない脆弱性を使用します。一部のシステムにパッチが適用されていなかったり、部分的にパッチが適用されていたり、アクセスブローカーが以前に侵害されたシステムに後でパッチが適用されたにもかかわらず持続性を確立したりしたため、2022 年のランサムウェアインシデントには、さらに古い脆弱性が関係していました。

2020 年から 2022 年のキャンペーンで使用され、防御側が確認して軽減できるいくつかの観察された脆弱性は次のとおりです。

CVE-2019-19781 の影響を受ける Citrix ADC システム
CVE-2019-11510 、 CVE-2020-8260 、 CVE-2020-8243 、 CVE-2021-22893 、 CVE-2021-22894 、 CVE-2021-22899 、およびCVE-2021-22900の影響を受けるPulse Secure VPN システム
CVE-2021-20016 の影響を受ける SonicWall SSLVPN
CVE-2019-0604 の影響を受ける Microsoft SharePoint サーバー
パッチが適用されていないMicrosoft Exchange サーバー
CVE-2020-10189 の影響を受ける Zoho ManageEngine システム
CVE-2018-13379 の影響を受ける FortiGate VPN サーバー
Apache log4j CVE-2021-44228

ランサムウェアの攻撃者も、新しい脆弱性を急速に取り入れています。組織の露出をさらに減らすために、Microsoft Defender for Endpoint のお客様は、脅威と脆弱性の管理機能を使用して、脆弱性と構成ミスを検出、優先順位付け、修復することができます。

Microsoft 365 Defender: ランサムウェア攻撃から防御するための、ドメイン間の詳細な可視性と統合された調査機能

ランサムウェアの多面的な脅威には、セキュリティに対する包括的なアプローチが必要です。上記で概説した手順は、一般的な攻撃パターンを防御し、ランサムウェア攻撃の防止に大いに役立ちます. Microsoft 365 Defenderは、組織がこれらのセキュリティコントロールの多くを簡単に適用できるように設計されています。

Microsoft 365 Defender の業界をリードする可視性と検出機能は、最近のMITRE Engenuity ATT&CK® Evaluationsで実証されており、最も一般的な脅威と攻撃者の手法を自動的に阻止します。人間が操作するランサムウェアに対抗するためのツールを組織に提供するために、Microsoft 365 Defender は、防御者がドメイン全体で悪意のある動作をシームレスに検査および修復できるようにする豊富な調査機能を提供します。

Microsoft Defender 365 を使用して、自動化されたクロスドメインセキュリティと組み込みの AI によって攻撃を阻止する方法について説明します。

最近発表されたMicrosoft Security Expertsと呼ばれる新しいサービスカテゴリへの拡張に合わせて、 Microsoft Defender Experts for Huntingのパブリックプレビューが利用できるようになりました。 Defender Experts for Hunting は、堅牢なセキュリティオペレーションセンターを所有しているが、エンドポイント、Office 365、クラウドアプリケーション、ID などの Microsoft Defender データ全体で脅威をプロアクティブにハンティングできるように Microsoft に支援してもらいたいお客様を対象としています。

5 月 12 日に開催されるMicrosoft Security Summitデジタルイベントでマイクロソフトの調査チームに参加して、Microsoft が脅威の状況でどのような進展を見ているか、また、これらの種類の攻撃を軽減するために Microsoft がどのようにビジネスを支援できるかを学びましょう。ライブチャットの Q&A で最も差し迫った質問をしてください。今日登録する。

参照: https://www.microsoft.com/en-us/security/blog/2022/05/09/ransomware-as-a-service-understanding-the-cybercrime-gig-economy-and-how-to-自身を守る/