2022 Q1 ランサムウェア調査:最も好まれる脆弱性 Top-10 などが明らかに

Ransomware gangs rely more on weaponizing vulnerabilities

2022/05/19 BleepingComputer — セキュリティ研究者たちの指摘は、ランサムウェア・ギャングが企業ネットワークに侵入する際に、依然として外部リモート・アクセス・サービスが主要な経路であるが、脆弱性を悪用するケースも目立って増えてきているというものだ。フィッシングだけではなく、インターネットに公開されたアプリケーションの脆弱性を悪用は、脅威アクターによるデータの窃取や、システムの暗号化につながる、主要な侵害の方式となっている。

Top main initial access methods in ransomware attack
source: Group-IB


サイバー・セキュリティ企業である Group-IB によると、脅威アクターはネットワークへのイニシャル・アクセスのために、Web 上に公開されたリモート・デスクトップ (RDP) サーバーをターゲットにするのが一般である。また、一部のランサムウェア・アフィリエイトは、漏洩したログイン情報など悪用して、内部からインフラを攻撃するという戦術をとっている。

脆弱性の悪用は増加傾向にある

このレポートを提供する Group-IB によると、昨年のランサムウェア集団は、インターネット上に公開されているアプリケーションの脆弱性に注目し、新たに公開された脆弱性を攻略する動きを進めているようだ。ランサムウェア脅威アクターが、2021年に悪用した脆弱性の中で、Group-IB が最も注目しているものは、以下の通りである。

  • CVE-2021-20016 (SonicWall SMA100 SSL VPN)
  • CVE-2021-26084 (Atlassian Confluence)
  • CVE-2021-26855 (Microsoft Exchange)
  • CVE-2021-27101, CVE-2021-27102, CVE-2021-27103, and CVE-2021-27104 (Accellion FTA)
  • CVE-2021-30116 (Kaseya VSA)
  • CVE-2021-34473, CVE-2021-34523, and CVE-2021-31207 (Microsoft Exchange)
  • CVE-2021-35211 (SolarWinds)

先日に、Cyber Security Works/Securin/Cyware/Ivanti が共同で発表したレポートでは、ランサムウェア攻撃に関連する脆弱性の数が、2022年 Q1 には 310件に増加したことを指摘している。この数字を、2021年 Q4 と比較すると、22件の増加で、7.6% 増となる。

しかし、すべてのバグが新しいわけではない。最近のランサムウェア攻撃に結びついた欠陥の半数は、2019年に公開されたものである。そして、それらの多くには、公開された PoC エクスプロイトが存在し、攻撃者の仕事をより容易にしている。2022年 Q1 において、ランサムウェア・アクターが積極的に悪用した脆弱性は、前四半期よりわずかに多い、157件であることも判明した。

Ransomware exploiting vulnerabilities Q1 2022
source: ransomware research report

テクニックとツール

Group-IB によると、ランサムウェア・ギャングは自身のリークサイトで、3,500人の被害者の情報を公開しており、そのほとんどが米国に拠点を置く被害者 1,655人 であるという。2021年に最も積極的に活動したランサムウェアは、LockBit と Conti であり、それぞれの被害者数は 670名と 640名だった。3位は Pysa であり、186人の被害者のデータがリークサイトで公開されている。

Ransomware statistics, Group-IB
source: Group-IB

Group-IB のデジタル・フォレンジック・インシデント対応 (DFIR) チームが、昨年に発生した 700件以上のランサムウェア攻撃を調査したところ、63% のケースでデータ流出が発生していたとのことだ。

これらのインシデントから収集したデータに基づき、Group-IBは、昨年の身代金要求額の平均は $247,000 であったと推定している。データの流出が、ランサムウェアの実行者が被害者に圧力をかけ、身代金を支払わせるための強力な戦術であることに変わりはない。その中には、カスタムツールを作成し、それをアフィリエイトに提供するギャングもいるようだ。

たとえば、LockBit は StealBit という自動データ収集モジュールを提供し、BlackMatter は ExMatter というツールを提供している。これらのユーティリティは、特定の拡張子やキーワードに基づき、攻撃者にとって価値のある情報が含まれていると推測される、ファイルを選択して流出させるものだ。

Group-IB が、ランサムウェア攻撃で確認したテクニックのうち、最上位に位置するのは、コマンドおよびスクリプトのためのインタプリターの使用と、リモート・サービスの使用であるが、それらは、研究者たちが調査した攻撃手法の一部となっている。
さらに、敵対者たちは、リモート・システムの検出および、認証情報の窃取(Mimikatz/Lazagne)、セキュリティ・ツールの無効化などの、さまざまな手法も使用している。

Ransomware techniques
source: Group-IB

攻撃の各ステップで用いられるツールについて、Group-IB は Top-10 を作成しているが、その筆頭に挙げられるのは SoftPerfect Network Scanner である。調査対象となったランサムウェアの半数以上において、研究者は Cobalt Strike ビーコンを発見している。その理由は、幅広いアクション (スクリプト実行/キーストローク・ログ取得/ファイル・ダウンロード) などに対応し、侵入後の段階において重宝されるツールだからである。

Common ransomware tools
source: Group-IB

これらの情報を利用することで、防御側は検知のための仕組みを設定し、最終的な攻撃が行われる前に、進行中の悪意の活動を捕捉できる。戦術が変わり、新しいツールやテクニックが採用されても、ランサムウェア攻撃の主要な段階に変化はない。

Ransomware attack kill chain
source: Group-IB

Group-IB の DFIR チームのリーダーである Oleg Skulkin は、ランサムウェア・オペレーションを乗り換えるアフィリエイトにより、その TTP (tactics, techniques, and procedures) が統合されるため、セキュリティ専門家が採用する手法での追跡は困難であると述べている。しかし、MITRE ATT@CK マトリックスのような、標準的な方法で主な傾向を定義すれば、ランサムウェアのインシデントに備えることは容易になるはずだ。

サイバー攻撃のイニシャル・アクセスに占める割合ですが、RDP 47%/Phishing 26%/Vulnerability 21% を合算すると 94% になるようです。この 記事の元データとなっている Group-IB:Ransomware Uncovered 2021/2022 ですが、かなりのページを使って MITER ATT&CK を解説しています。文中の好まれる脆弱性 Top-10 は、その中の一部として提供されているデータでした。なかなか面白そうなレポートなので、よろしければダウンロード/参照してください。

%d bloggers like this: