Ransomware gang breached CNA’s network via fake browser update
2021/07/22 BleepingComputer — 米国の大手保険会社 CNA Financial は、2021年3月に生じたランサムウェア攻撃において、Phoenix CryptoLocker のオペレーターたちが、どのようにネットワークに侵入し、データを盗み出し、ランサムウェア・ペイロードをディプロイ展開したのかを明らかにした。2ヵ月前の5月13日に CNA は、攻撃で影響を受けたシステムを復旧させた後に、完全に回復した状態で業務を開始したと発表した。そして、今月の初めに提出した法的通知で明らかにしたように、CNA は事件の発見直後から第三者のセキュリティ専門家と協力して調査を実施し、ランサムウェア攻撃の正確なタイムラインを見つけ出した。
偽のブラウザ・アップデートによりネットワークに侵入
CNA が明らかにしたところによると、攻撃者は3月5日に、正規の Web サイトを介して配信された悪意の偽ブラウザ更新プログラムを使って、従業員のワークステーションに侵入した。ランサムウェアのオペレーターは、さらなる悪意の活動によりシステム上で昇格した権限を取得し、CNA のネットワーク内を横方向に移動して、より多くのデバイスに侵入し、その状態を維持した。ニューハンプシャー州の司法長官事務所に提出された法的通知によると、「2021年3月5日から3月20日の間、脅威アクターたちは検出を回避し、持続性を確立するために、正規のツールと認証情報を用いて、CNA の IT 環境内を偵察した」とされている。
2021年3月20日から3月21日にかけて、脅威アクターは監視とセキュリティのツールを無効化し、CNA の特定のバックアップを破壊/無効化し、環境内の特定のシステムにランサムウェアを展開した。それに対して、CNA は緊急の封じ込め措置として、世界各地でシステムを積極的に切断した。この攻撃に詳しい関係者が Bleeping Computer に語ったところによると、Phoenix CryptoLocker は 3月21日に、CNA のネットワーク上にランサムウェア・ペイロードを展開した後に、15,000以上のシステムを暗号化したとのことだ。
また、Bleeping Computerは、ランサムウェアのオペレータが、攻撃中に同社の VPN にログインしている、リモートワーカーのデバイスを暗号化したことも確認している。脅威アクターは、ランサムウェアをディプロイする前に、CNA の仮想サーバ3台のファイル共有から得た非構造化データを、コピー/圧縮/ステージングし、正規のツールである MEGAsync を用いて、Mega NZ Limited がホストするクラウドベースのアカウントにコピーした。
盗まれたデータは販売/取引されていない
CNA が調査したところ、盗まれたファイルには、従業員/元従業員/扶養家族が含まれ、さらに、約 10% のケースでは、顧客の機密情報 (氏名/社会保障番号/生年月日/給付金登録情報/医療情報) が含まれていた。FBI と Mega の協力を得た調査の結果、押収した MEGAsync アカウントにのみ、攻撃者がデータを流出させていたことが判明した。このクラウド・ストレージ・プラットフォームから提供された情報によると、盗まれた CNA のデータは、攻撃者の Mega アカウント以外では共有されていなかった。
このランサムウェア攻撃の調査結果を考慮して CNA は、「脅威アクターがエクスポートされたデータを閲覧/保持/共有した証拠はなく、この事件に起因する個人への被害のリスクは無い」としている。この結論にもかかわらず、今月の初めに CNA は、3月に発生した Phoenix CryptoLocker ランサムウェア攻撃によるデータ流出の可能性について、影響を受ける個人に通知することを決定した。CNA がメイン州の司法長官に提出した情報によると、このデータ流出は 75,349人に影響を与えている。
制裁を受けたサイバー犯罪グループとの関連性は?
WastedLocker ランサムウェアは、被害者が身代金の支払いに応じなくなった後に、罰金や法的措置を避けるために活動を停止した。そして、ハッキング・グループ Evil Corp が開発した、新しいランサムウェアの系統が Phoenix Locker だと、ソースコードの類似性からは考えられる。制裁を受けている Evil Corp と、Phoenix Locker ランサムウェアの関連性について、Bleeping Computerからの質問を受けた CNA は、それを示す証拠はないと答えている。
同社は、「今回の攻撃に関与した脅威ループである、Phoenix Locker は制裁対象とはされていない。この CNA を攻撃したグループと、制裁の対象とされる団体との関係は、どの米国政府機関でも確認されていない」と述べている。Insurance Information Institute (保険情報研究所) の統計によると、CNA は米国で第7位の商業保険会社とされている。同社は、米国/カナダ/ヨーロッパ/アジアの個人および企業に対して、サイバー保険を含む広範な保険商品を提供している。
大手保険会社 CNA におけるランサム被害に関しては、「ランサムウェア被害に遭った大手保険 CNA のシステムが復旧した」と「保険大手の CNA Financial は $40 Million をランサム・ギャングに支払ったらしい」という記事で取り上げています。そして、今回の記事では、実行犯の手口が分析されたわけですが、偽ブラウザ更新プログラムが入り口だとすると、防ぐことが難しいだろうと思ってしまいます。この辺り、もう少し詳しい情報が欲しいですね。それにしても、ランサム・ギャングたちは、姿を変えながら生き続けているようです。
IoT OT Security News 