FBI shares Lockbit ransomware technical details, defense tips
2022/02/05 BleepingComputer — 今週の金曜日に米連邦捜査局 (FBI) は、新たに発表した Flash Alert において、LockBit ランサムウェアに関連する技術的な詳細と危険性の指標を公開した。また、同組織は、ユーザーのネットワークに侵入しようとする、この敵対者の試みを阻止するための情報を提供し、また、インシデントが発生した場合には、ローカルの FBI Cyber Squad に対して、早急に報告するよう被害者に求めている。
ランサムウェア LockBit は、Ransomware-as-a-Service (RaaS) としてサービスを開始した2019年9月以降において、代表者が作戦を推進し、ロシア語のハッキング・フォーラムでサポートを提供し、ネットワークを侵害して暗号化する脅威アクターを募集するという、きわめて活発な行動を示している。
そして2021年6月には、LockBit アクターがサイバー犯罪フォーラムへの投稿を禁止されたことを受けて、自前のデータリーク・サイトで LockBit 2.0 RaaS を発表している[1, 2]。その時の再開に伴い、LockBit は Tor サイトのデザインを変更し、マルウェアをオーバーホールし、Active Directory グループポリシーを介して Windows ドメイン全体の、デバイスを自動的に暗号化するなど、より高度な機能を追加した。
また、同ギャングは、VPN (Virtual Private Network) や RDP (Remote Desktop Protocol) を介して、企業ネットワークへのアクセスを提供するインサイダーを募り、仲介者を排除しようとしている。そして 2022年1月には、VMware ESXi サーバーをターゲットにした、Linux の暗号化装置もツールキットに加えていることが判明している。
そこで FBI は、LockBit ランサムウェアの動作に関する技術的な詳細として、このマルウェアには隠しデバッグ・ウィンドウが搭載されており、感染プロセス中に SHIFT + F1 のキーボード・ショートカットを使用して、それが起動されることを明らかにした。このデバッグ・ウィンドウを表示すると、暗号化プロセスに関するリアルタイムな情報の閲覧や、ユーザーデータの破壊状況の追跡などが可能になる。
今週の勧告は、オーストラリアのサイバーセキュリティ機関が2021年8月に発表した、LockBit ランサムウェア攻撃が急速にエスカレートしているとして発した、アラートに続くものである。
その数日後には、Fortune 500 企業であり、世界最大級の IT サービス・コンサルティング会社である Accenture が、LockBit によりネットワークが侵害され、盗まれたデータを漏洩すると脅迫され、$50 million の身代金を要求されていることが確認された。そして、2ヵ月が過ぎた10月には、8月の攻撃で専有情報の抽出が行われたと、SEC filings で Accenture もデータ侵害を公表した。
LockBit ランサムウェア攻撃の報告を求められた企業
今回の Flash Alert のキッカケについて、FBI は言及していないが、システム管理者やサイバー・セキュリティ専門家に対して、企業ネットワークを標的とした LockBit 攻撃に関する情報を共有するよう求めている。
FBI は、「外国の IP アドレスとの通信を示す境界線のログ/身代金請求書のサンプル/脅威となる人物との通信/Bitcoin ウォレット情報/解読ファイル/暗号化されたファイルの良性サンプルなど、共有できるあらゆる情報を求めている」と述べている。
そして FBI は、この情報共有に関する文書を受け取ったユーザーに対して、不審な行動や犯罪行為に関する情報を、最寄りの FBI 支部に報告することを推奨している。同組織は、「関連情報を FBI Cyber Squad に報告することで、FBI が悪意の行為者を追跡し、将来の侵入や攻撃を防ぐために、民間企業や米国政府と連携する情報共有に協力してもらうことになる」と付け加えている。
ネットワークを防御する方法
FBI は、LockBit ランサムウェア攻撃からネットワークを守るための対策を、以下のように紹介している。
- パスワードでログインする、すべてのアカウントにおいて、強力で固有のパスワード設定を義務付ける。
- 可能な範囲で、すべてのサービスに多要素認証を要求する。
- すべてのオペレーティング・システムおよびソフトウェアを最新の状態に保つ。
- 不必要な管理共有へのアクセスを排除する
- ホストベースのファイアウォールを使用し、限られた管理者マシンからの SMB (Server Message Block) を介した管理共有への接続のみを許可すること。
- Windows オペレーティング・システムで保護されたファイルを有効にし、重要なファイルへの不正な変更を防ぐ。
また、管理者は以下の対策を講じることで、ランサムウェアによる標的ネットワーク発見活動を妨げられる。 - ランサムウェアの拡散を防ぐためにネットワークを分割する。
- ネットワーク監視ツールを用いて、異常な活動やランサムウェアが侵入した可能性を特定/検出/調査する。
- 管理者レベル以上のアカウントには、時間ベースのアクセス権を設定する。
- コマンドラインやスクリプティングの動作や権限の無効化。
- データのオフライン・バックアップの維持と、定期的なバックアップと復元の維持。
- すべてのバックアップ・データが、暗号化され、不変的であり、組織のデータ・インフラ全体をカバーしていること。
身代金の支払いは嫌われるが
また FBI は、身代金の支払いは推奨しておらず、また、それを支払うことで将来の攻撃やデータ漏洩から身を守れるとは限らないため、身代金は支払わないよう企業に助言している。さらに、ランサムウェア・ギャングの要求に応じることは、彼らの活動資金をさらに増やし、より多くの被害者を狙う動機となる。また、他のサイバー犯罪グループが、彼らに加わって違法行為を行う動機にもなる。
しかし FBI は、ランサムウェア攻撃の影響により、企業が株主/顧客/従業員を守るために、身代金の支払いを検討せざるを得なくなる可能性があることも認めている。FBI は、そのようなインシデントを、トーカルの FBI 支局に報告することを強く推奨している。
身代金を支払った後でも、FBI は、ランサムウェア攻撃者を追跡し、その責任を追求することで、今後の攻撃を防止するための重要な情報が得られる。したがって、ランサムウェア・インシデントを速やかに報告することを推奨している。
Lockbit に関しては、1月20日の「ダークウェブへの潜入調査:ランサムウェア・ギャングたちのデータを分析/整理」にもあるように、この業界の五番手という規模のようですが、REvil が潰れたので昇格しているのでしょう。また、Accenture への攻撃に関しては、2021年8月11日の「Accenture が LockBit 2.0 ランサムウェアに攻撃される」や、9月1日の「LockBit が Bangkok Airways を攻撃:Accenture からの連鎖か?」、10月18日の「Accenture の情報漏洩インシデント:SEC への報告で深刻さが露呈」などを、ご参照ください。
IoT OT Security News 