ランサムウェア攻撃が急増しており、これまで企業を標的にしていたハッカーたちは、MSPとその顧客を狙うようになりました。2019年第3四半期だけでも、ランサムウェア攻撃は37%増加し、64パーセントの攻撃が小規模企業から報告されており、IT業者とMSPへの攻撃は24パーセントを占めました。 それでは、最近世界で企業や政府機関を悩ませているランサムウェアをいくつか見ていきましょう。
Ryuk
ロシアのサイバー犯罪集団Wizard Strikeが開発したRyukランサムウェアは、2019年に多くの重大なランサムウェア攻撃を引き起こしました。最初の攻撃はフィッシングメールで始まりますが、ユーザーがリンクをクリックしたり、ウェブサイトを訪問したりする時点では、Ryukは引き起こされません。
その代わりに、通常TrickbotやEmotetのようなエクスプロイトキットがインストールされます。どちらもネットワークを通じて広がることができ、Ryukが効果的に機能するために必要なデータを収集します。TrickbotやEmotetが役目を果たすと、次にRyukが展開します。Ryukは自らのコードをプロセスに挿入して、ウィルス対策ソフトウェアやデータベースなどを含む基幹システムを麻痺させます。その後暗号化が始まり、それが完了したところで、身代金の要求が行われます。
2019年にRyukは、フロリダ州のレイクシティ市、リビエラビーチ市、ペンサコラ市、ネブラスカ州のリンカーン市に加えて、少なくとも米国の学校5校を攻撃しました。2019年12月にRyukは、ダラスにあるテキサス州のデータセンターを、そのMSPであるCyrusOneを通じて攻撃しました。フロリダ州は、Ryukによってオフライン状態に追いやられた基幹システムを回復するために100万ドル以上の身代金をビットコインで支払いました。
ニューオーリンズ市は、2019年11月にRyukの攻撃を受けましたが、その直後の12月に緊急事態宣言をしました。同市は、この攻撃からの回復のために700万ドル以上を費やしました。この攻撃からほどなく、2020年1月のバトンルージュにあるITIテクニカル大学が攻撃されました。
Maze
ドイツの政府機関や米国拠点の企業に対して2019年におびただしい数の攻撃をしかけたMazeランサムウェアは、Cha-Chaランサムウェアの亜種です。Mazeは、ウェブサイトのドライブバイダウンロードを介してコンピュータに侵入するFalloutエクスプロイトキットによって配布されます。その一般的な経路として使われるのが不正広告キャンペーンです。
Falloutの旧バージョンとは異なり、最近の改良版は、通常FlashやInternet Explorerの脆弱性を利用してPowershellを通じてペイロードを配布します。EmotetやTrickBotと同様に、Falloutエクスプロイトキットはコンピュータに侵入して、ランサムウェアのペイロードによるさらなる感染の土台作りをします。Mazeは最終的にコンピュータに配布されると、Falloutが集めた情報を基に感染されたコンピュータの種類を判断します。この情報を基に個別の身代金要求がなされます。
2019年に、Infobloxの研究者たちはイタリア語話者のユーザーを標的にしたフィッシングキャンペーンを検知しました。イタリア歳入庁になりすました28件のメールには、マクロが埋め込まれたWord文書が添付されており、その文書からMazeが拡散されるようになっていました。ユーザーは、添付ファイルをダウンロードして歳入庁の金融ガイドラインとされるものを確認するように指示されます。
Sodinokibi
REvilの名でも知られるSodinokibiランサムウェアは2019年 に立て続けにテキサス州の自治体22組織を含む米国の政府機関を攻撃して世間に衝撃を与えました。ハッカーはフィッシングメール、エクスプロイトキット、サーバの脆弱性を利用してSodinokibiを配布します。
Sodinokibiは、2019年4月にOracle Weblogic Serverの脆弱性を悪用しているところを最初に発見されました。認証なしに遠隔で実行できるSodinokibiは、GandGrabというサービスとしてのランサムウェア(RaaS)を起源としています。GandGrabには数百のアフィリエイトがありますが、最近ではRaaSとしても利用可能なSodinokibiの人気が高まったことで勢いが衰えました。
Sodinokibiは2019年大晦日に外国為替会社のTravelexを攻撃しましたが、この攻撃の原因となったのはPulse Secure VPNの未パッチの脆弱性でした。さらに、2019年を通じて、ハッカーはMSPへのリモートデスクトップ攻撃を仕掛けることで多くの中小企業にSodinokibiを配布しました。また、マルスパムも頻繁に使われる配布方法の1つであり、2019年5月には差し押さえ警告スパムキャンペーンが検知されました。
2019年12月に、Sodinokibiは、MSP兼ホスティングプロバイダであるLogicalNetを攻撃した後、ニューヨークのオールバニー国際空港へ被害を拡大させました。2019年にSodinokibiからの攻撃を受けたMSPの中には、PerCSoft、Synoptek、CyrusOneなどがあります。
Mailto (NetWalker)
2019年8月に初めて検知されたMailtoランサムウェアはNetwalkerの名でも知られていますが、これはMailtoが発見されてまもなく特定された復号プログラムの名称です。2020年2月に、オーストラリア政府はMailtoランサムウェア攻撃の増加を警告しました。この警告が発せられたのは、Mailtoランサムウェアがオーストラリアの輸送物流会社であるトール・ホールディングスを攻撃したすぐ後のことでした。これにより、同社のシステムは中断され、配送の遅れが大々的に報道されました。
オーストラリア政府サイバーセキュリティセンター(ACSC)によると、Mailtoはフィッシングやパスワードスプレーキャンペーンを通して拡散するということです。Mailto攻撃の最近の分析によると、実行可能なファイルがパスワード管理ソフトウェアであるSticky Passwordになりすまします。ユーザーがSticky Passwordのコマンドを実行すると、暗号化プロセスが開始します。
Mailtoの悪名高い特徴の1つは、その拡張子のホワイトリストの使い方です。これは、ランサムウェアにはまれなもので、暗号化するためにファイルを飛ばし読みできるようになっています。一度暗号化されると、標的のファイルにmailto拡張子が付け加えられ、身代金要求の手紙が配布されます。
Eメールベースのランサムウェアの予防
ほとんどのランサムウェア攻撃がメールによってもたらされるにも関わらず、ほとんどのセキュリティソリューションは既知のマルウェアコードをスキャンしています。例えば、Office 365に標準装備されているExchange Online Protection (EOP)は、既知のマルウェアの亜種の検出には長けていますが、難読化コードやその他の回避手段を採る脅威を検出できるほど洗練されていません。EOPのようなソリューションは、単に完全に一致するものを探します。ハッカーはこれを踏まえて、自らのウィルスを開発します。
行動に基づいたマルウェア検知システムは、既知の悪意のあるコードに加えて、悪意のある行動をスキャンします。悪意のある行動には、実行可能ファイル、不審な文字、不審な文字列やコマンド、メールを伴うファイルの価値などが含まれます。既知のマルウェアコードが存在してなくても、これらの特徴はすべて、強力なマルウェアの兆候です。
最後に、メールセキュリティに関する注意を怠らずにビジネスをメールベースのマルウェア攻撃から保護しましょう。フィッシングメールの兆候を識別できるように貴社のスタッフやユーザーをトレーニングしましょう。そして彼らがフィッシングの犠牲になった場合の状況トレーニングを提供して、次のベストプラクティスを実践させましょう。
- 送信者のメールアドレスを確認して、なりすましの兆候を探す。
- メールのリンクにマウスオーバーして、URLが実際にどこに繋がっているのかを確認する。
- ウェブサイトのURLを自分のブラウザで開いて、不審な文字や国コードについて調べる。
- 知らない送信者からの添付ファイルを開かない。
- IsItPhishing.AIのような無料のURLスキャニングサービスを利用してURLがフィッシングページに繋がっているかどうかを調べる。
