REvilランサムウェアグループは、リモート管理ソリューションのプロバイダーであるKaseya社のインフラにアクセスし、Kaseya社が提供しているVSAソフトウェアに悪意のあるコードを挿入、ソフトウェアアップデートを使用して、企業ネットワークにランサムウェアを展開していることがわかりました。
世界中の何千もの企業に影響を与えたと考えられますが、マネージドサービスプロバイダ(MSP)を専門とするRedditの投稿で初めて明らかになりました。MSPとは、IT部門を持たない中小企業にリモートITサービスを提供する企業で、Kaseya社のソフトウェアを利用している企業となっています。
被害のほとんどは英国にあるシステムであり、次いで南アフリカ、ドイツ、米国となっています。
セキュリティ企業であるSophos社は、悪意のあるKaseyaアップデートを利用してオンプレミスのVSAサーバに侵入、そこから内部スクリプトエンジンを使って、接続されているすべてのクライアントシステムにランサムウェアが展開されているとのことです。
Sophosのマルウェアアナリストであるマーク・ローマンによると、ホストシステム上でREvilグループはローカルのアンチウイルスソリューションを無効にし、偽のWindows Defenderアプリを展開。被害者のファイルを暗号化する実際のランサムウェアバイナリを実行します。
この攻撃は大規模なものであると語っています。
Loman氏によると、影響を受けた企業で感染したシステムがドメインに参加していない場合は500万円=5万ドル、もしくはコンピュータがドメインに参加しており、システムが大規模な企業ネットワークの場合は5億円=500万ドルの身代金請求書が置かれているとのことです
セキュリティ企業のHuntress Labs社は、今回の攻撃に影響を受けたMSPが少なくとも8社、データが暗号化された企業が少なくとも1500社あることを認識していると述べています。
Kaseya、VSAサーバをオフラインにするよう顧客に指示
Kaseya社は、すべてのVSAの利用者に対して、通知があるまでシステムをオフラインにするように促しているサポートページをリリースしました。
さらにKaseyaは悪意のあるアップデートを停止し、REvilグループをシステムから根絶するためクラウドインフラストラクチャを停止しました。
VSAに対する攻撃を受けていますが、それは少数のオンプレミスのお客様に限られています。
今回のKaseyaソフトウェアを介した大規模なサプライチェーン攻撃のニュースを受け、米国サイバーセキュリティ・インフラストラクチャセキュリティ庁は対処法を検討していると述べています。
また、本日の事件はランサムウェアグループがランサムウェアを展開するためにKaseya製品を悪用した3回目の事件となります。
2019年2月、Gandcrabランサムウェアグループは、ConnectWise Manageソフトウェア用のKaseyaプラグインの脆弱性を悪用して、MSPの顧客のネットワーク上にランサムウェアを展開しました。
GandcrabグループがREvilとして名前を変更した後、2019年6月にMSPに対する2回目の攻撃を行い、Webroot SecureAnywhereとKaseya VSA製品を悪用して、MSPから顧客ネットワークに再びランサムウェアを展開しました。
侵害のプロセス
インターネットに面したVSAサーバにリモートアクセスしたようで、セキュリティ企業のHuntress Labsは、VSAのWebインターフェイスにおける認証バイパスの脆弱性(CVE-2021-30116)を利用して侵入されたと述べています。
この脆弱性を利用して、VSAのWebパネルで認証をバイパスした後、VSAアプライアンス上でSQLコマンドを実行、接続されているすべてのクライアントにランサムウェアを展開していたようです。
顧客のネットワーク上で、VSAアプライアンスは「VSAエージェント・ホットフィックス」パッケージを展開し、古い脆弱なバージョンのMicrosoft Defenderアプリを使用したアンチウイルスソリューションをバイパスし、ローカルのワークステーションを暗号化するために使用していました。
Kaseyaがアプリケーションとエージェントのセットアップに必要とされるアンチマルウェアソフトウェア除外フォルダの「作業」フォルダを利用しており、Kaseyaエージェントモニタによって実行されたものは、アンチマルウェアの除外フォルダにあるためスキャンは無視されます。これによりREvilがアンチマルウェアをすり抜け、ドロッパーを展開することができました。
Base64エンコードされた悪意のあるペイロードAGENT.CRTをVSAエージェントの「作業」ディレクトリに書き出して、Shellスクリプトを実行しています。Shellスクリプトには、Microsoft Defenderのコアのマルウェアおよびランサムウェア対策保護を無効にしようとするPowerShellコマンドがふくまれていました。
- リアルタイムの保護
- 既知の脆弱性の悪用に対するネットワーク保護
- すべてのダウンロードファイルと添付ファイルのスキャン
- スクリプトのスキャン
- ランサムウェア対策
- フィッシング詐欺、エクスプロイト、その他の悪意のあるコンテンツをインターネット上でホストしている可能性のある危険なドメインに、アプリケーションがアクセスできないようにする保護機能
- Microsoft Active Protection Service(MAPS)との潜在的な脅威情報の共有
- マイクロソフト社へのサンプルの自動提出
これらの機能は、Microsoft Defenderが後続の悪意のあるファイルや活動をブロックする可能性を防ぐためにオフにされていました。
このREvil攻撃は大量に展開されているため、データを流出させることは想定されていないようでした。
今回のREvil攻撃が使用したアンチマルウェアの回避は止められないものではなく、多くのアンチマルウェア製品によって検出されました。
本攻撃の流れのまとめは以下の通りです
0 AGENT.CRTのインストールコマンド
1 Windows Defenderを停止させようとするPowerShellコマンド
2 改名されたCERTUTIL.EXEがAGENT.CRTからAGENT.EXEをデコードする
3 AGENT.EXE が実行され、MSMPENG.EXE と MPSVC.DLL を C:\Windows にドロップする
4 「MSMPENG.EXE」が実行され、「REvil DLL」をサイドロードする
5 ファイルが暗号化され、身代金請求書が作成される
6 Netsh.exeがネットワークディスカバリーをオンにする
CISAとFBIが提唱する推奨事項
2021年7月5日、CISAとFBIは影響を受けるMSPに対して対応すべき推奨事項をリストアップしました
- Kaseya VSA検出ツールをダウンロードすること。このツールは、システム (VSAサーバまたは管理されたエンドポイントのいずれか) を分析し、あらゆる侵害の兆候 (IoC) が存在するかどうかを判断することができる。
- MSPの管理下にあるすべてのアカウントで多要素認証 (MFA) を有効にして、顧客向けサービスでは可能な限りMFAを有効にして実施します。
- アローリストを導入して、リモート監視・管理(RMM)機能との通信を既知のIPアドレスペアに制限する
- リモート監視・管理(RMM)機能の管理インターフェースを、仮想プライベートネットワーク(VPN)または専用の管理ネットワーク上のファイアウォールの背後に配置
- バックアップを最新の状態に保ち、組織のネットワークから隔離された容易に取り出せる場所に保存
- 新しいパッチが利用可能になったらすぐにインストールするなど、ベンダーの修正ガイダンスに従った手動のパッチ管理プロセスに戻す
- 主要なネットワークリソースの管理者アカウントにMFAと最小権限の原則を導入
被害のタイムライン
日時 | 内容 |
7/5 | 身代金支払い金額を5000万ドルに値下げ |
7/5 | CISAとFBIは影響を受けるMSPに対して対応すべき推奨事項をリストアップ |
7/4 | ランサムウェアグループ「REvil」がこの攻撃で100万台以上のシステム上のファイルに感染して暗号化したと声明。すべてのKaseyaユーザに対して暗号を解除できるユニバーサル復号ソフトを提供するために、7000万ドルの身代金支払いを要求 |
7/4 | Kaseyaは、REvilギャングが使用した脆弱性を特定したと発表 |
7/2 | Kaseya社は、すべてのVSAの利用者に対して、通知があるまでシステムをオフラインにするように促しているサポートページをリリース |
7/2 | VSAのバグを悪用して世界中に配置されたVSAサーバーを乗っ取り、VSAプラットフォームに接続されているすべてのワークステーションにランサムウェア「REvil」が配布 |
Comments