Ransomware families becoming more sophisticated with newer attack methods
2022/01/28 HelpNetSecurity — Ivanti/Cyber Security Works/Cyware の三社は、2021年には 32種類のランサムウェア・ファミリーが登場し、合計 157種類となり、前年比で 26% 増になったことを Ransomware 2021 Year End Report で明らかにした。同レポートによると、これらのランサムウェアは、パッチが適用されていない脆弱性を標的とし、ゼロデイ脆弱性を記録的な速さで武器化し、致命的な攻撃を仕掛けることが判明した。また、これらのランサムウェア・グループは、攻撃範囲を拡大し、組織のネットワークを危険にさらす新たな方法を見つけ出し、大きなインパクトを与える攻撃を大胆に仕掛けている。
主な見解と傾向
未パッチの脆弱性は、ランサムウェア・グループが利用する、最も重要な攻撃手段である。今回の分析では、昨年にランサムウェアが悪用した、新たな脆弱性が 65件も発見された。この値は前年比で 29% 増となり、ランサムウェアが悪用した脆弱性の総数は 288件となった。驚くべきことに、新たに追加された脆弱性の 37% は、ダークウェブの大きなトレンドとなり、繰り返して悪用されている。
それと並行して、2021年以前に確認された 223件の古い脆弱性を見ると、その中の 56% が継続して、ランサムウェア・グループにより積極的に悪用されていた。つまり、ランサムウェア・グループが標的とする脆弱性は、それが新たに特定された脆弱性であれ、古い脆弱性であれ、組織にとって優先的にパッチを適用する必要があることが証明されている。
ランサムウェア・グループは、CVE が National Vulnerability Database に追加され、パッチがリリースされる前から、ゼロデイ脆弱性を発見/悪用し続けている。例をあげると、QNAP CVE-2021-28799/Sonic Wall CVE-2021-20016/Kaseya CVE-2021-30116 などの脆弱性は、NVD に登録される前から悪用されていた。最近の、Apache Log4j CVE-2021-44228 も同様である。
このような、危険の形態を示す傾向により、ベンダーからの脆弱性の開示とパッチのリリースに対しては、優先順位に基づく機敏な対応が必要であることが示されている。また、ユーザー企業は NVD を注視するだけではなく、脆弱性の傾向/悪用事例/ベンダー勧告/セキュリティ機関からの警告などにも目を配り、パッチ適用の優先順位を決める必要があることも判明した。
最近のランサムウェア・グループにおいては、広範囲におよぶ混乱と大きな損害を目的として、サプライチェーン・ネットワークを標的とするケースが増えている。1つのサプライチェーンが侵害されると、複数の道が開かれ、何百もの被害者の、ネットワーク・システム全体を乗っ取ることが可能になる。
昨年は、サードパーティ製のアプリや、ベンダー固有の製品、オープンソースのライブラリなどを介して、複数のサプライチェーン・ネットワークが侵害された。たとえば、REvil グループは、Kaseya VSA リモート・マネジメント・サービスの CVE-2021-30116 を狙い、悪意のアップデート・パッケージを起動し、オンサイトおよびリモート・バージョンの VSA プラットフォームを使用する、すべての顧客を危険にさらした。
ランサムウェア・グループは、正規の SaaS をモデルにして、自身のサービスを他者と共有することが多くなっている。Ransomware-as-a-Service (RaaS) とは、ランサムウェアの開発者が自らのサービス/亜種/キット/コードなどを他の脅威アクターに提供し、対価を得るというビジネス・モデルである。また、Exploit-as-a-Service は、開発者からゼロデイ・エクスプロイトを借り受けるソリューションとなる。
また、Dropper-as-a-Service を利用すると、悪意のペイロードを被害者のコンピュータ上で実行するプログラムが提供され、初心者の脅威アクターであってもマルウェアを配布できる。また、トロイの木馬型サービスは、Malware-as-a-service とも呼ばれ、インターネットに接続している誰もがインストールを必要とせずに、カスタマイズされたマルウェアをクラウド上で入手/展開することが可能となる。
288種類の脆弱性を悪用する 157 のランサムウェア・ファミリー
288種類の脆弱性を悪用する、157 のランサムウェア・ファミリーが存在することから、今後の数年間において猛烈な攻撃が仕掛けられると予想される。また、Coveware によると、ランサムウェアの攻撃を受けた企業は、平均で $220,298 の身代金を支払い、23日間のダウンタイムに苦しんでいる。したがって、サイバー・ハイジーンをより重視する必要がある。今後、特に環境が複雑化していく中で、サイバー・ハイジーンの自動化は重要性を増していくだろう。
Ivanti の SVP of Security Products である Srinivas Mukkamala は、「ランサムウェア・グループは、より洗練され、その攻撃はインパクトを増している。これらの脅威アクターは、自動化されたツールキットを用いて脆弱性を悪用し、侵害したネットワークの深部まで侵入するケースが増えている。また、標的を拡大することで、重要分野への攻撃を強めているため、経験したことのない被害が生じ、日常生活に支障をきたすことも増えている。ユーザー企業は警戒を怠らず、武器となる脆弱性に遅滞なくパッチを適用する必要がある。そのためには、リスク・ベースの脆弱性の優先順位付けと、自動化されたパッチ・インテリジェンスを組み合わせて活用し、脆弱性を特定することで修復を加速させていく必要がある」と述べている。
Cyware の CEO である Anuj Goel は、「ランサムウェアの状況を通じて観察された実質的な変化は、攻撃者がシステムに侵入するためのギャップを探すのと同様に、パッチ展開などのプロセスに侵入しようとしていることだ。脆弱性の発見には、脆弱性データをインテリジェンスとして扱い、対応策を迅速に決定/実施することが必要となる。ランサムウェア・ギャングが、ツール/手法/ターゲット・リストなどを運用する中で、SecOps チームは脆弱な資産/システムを自己修復するためのプロセスを自動化し、集められたインテリジェンスをリアルタイムで運用することで、リスクを軽減していくことが不可欠だ」と述べている。
Cyber Security Works の CEO である Aaron Sandeen は、「ランサムウェアは、あらゆる分野の顧客や従業員に壊滅的な被害を与えている。2022年においても、新しい脆弱性/エクスプロイト・コード/APT グループ/ランサムウェア・ファミリー/CWE のカテゴリーなどを利用し、また、古い脆弱性も利用し、組織を攻撃する方法が多様化していくと考えられる。リーダーたちは、ランサムウェアの脅威に優先順位をつけ、弱点を修復するために、革新的で予測可能な支援を必要としている」と述べている。
2021年のランサムウェアに関するデータをまとめた、レポートが提供されています。288 種類の脆弱性を悪用する、157 のランサムウェア・ファミリーが存在すると言われても、ちっとピンときませんが、こうして海外の記事を拾っていると、毎週のように新しいランサムウェアの名前を見ますので、そんな規模なのでしょう。また、さまざまな理由があるのだろうと思いますが、どんどんと枝分かれして、リスクを分散しているようにも思えます。よろしければ、カテゴリ Ransomware も、ご利用ください。
IoT OT Security News 