Microsoft 警告：ランサムウェアと情報窃取を仕掛ける 100以上の脅威アクターたち

Microsoft: Over 100 threat actors deploy ransomware in attacks

2023/01/31 BleepingComputer — 今日、Microsoft のセキュリティ・チームは、ランサムウェアを展開する 100以上の脅威アクターを追跡していると明かした。さらに、同チームは、昨年末までに活発に動き回っていた、50以上のランサムウェア・ファミリーを監視しているという。同社は、「最近のキャンペーンで多用されたランサムウェアのペイロードには、Lockbit Black／BlackCat (別名 ALPHV) ／Play／Vice Society／Black Basta／Royal などがある。ただし、防御のための戦略としては、それらのペイロードに注目するよりも、それらの展開につながる活動の連鎖に対して、もっと焦点を当てるべきだ。依然として、ランサムウェア・ギャングは、一般的な脆弱性を標的とし、パッチ未適用のサーバやデバイスを標的にしている」と述べている。

さらに、新規のランサムウェア・ファミリーが出現し続けているが、大半の脅威アクターたちは、ネットワークに侵入する際に同じ手口を利用するため、こうした動作を検出する努力は、攻撃を阻止する上で有効だ。

DEV-0671／DEV-0882 のような脅威アクターは、先日にパッチ適用された Exchange の脆弱性を悪用して脆弱なサーバをハッキングし、Cuba や Play といったランサムウェアを展開する。つまり、フィッシング以外の手法により、攻撃を仕掛けることが多くなっていると、Microsoft は補足している。

先週に、Exchange チームは管理者たちに対して、オンプレミスの Exchange Server を保護するために、最新の CU (Cumulative Update) を導入し、緊急のセキュリティ・アップデートのインストールを可能にするよう呼びかけている。

インターネットに公開されている 60,000 台以上の Exchange Server は、ProxyNotShell RCE エクスプロイトを利用した攻撃に対して、依然として脆弱性を抱えていることが明らかになった。同時に、2021年に最も悪用された２つの脆弱性である ProxyShell／ProxyLogon を狙う攻撃に対しても、数千台が安全を確保できていない状態となっている。

その他のランサムウェア・オペレーターも、マルバタイジングを利用することで、様々なマルウェアをプッシュするためのローダー／ダウンローダーを配布し、ランサムウェアやインフォ・スティーラーの展開につなげようとしている。

たとえば、DEV-0569として追跡されている脅威アクターは、ランサムウェア・ギャングの IAB (Initial Access Broker) であると考えられていた。しかし現在は、Google 広告を悪用してマルウェアを配布し、感染デバイスからパスワードを盗み出し、最終的に企業ネットワークにアクセスしている。彼らは、そこで得たアクセス権を攻撃の一部として悪用することもあれば、Royal ランサムウェアなどの脅威アクターたちに販売することもあるという。

昨年は、Conti ランサムウェアがシャットダウンしたが、Royal／Play／BlackBasta といった新たな Raas (Ransomware-as-a-Service) が台頭してきた。また、LockBit／Hive／Cuba／BlackCat／Ragnar などのランサムウェア・オペレーターは、2022年を通して侵入を繰り返し、次々と被害者たちを恐喝していった。

その一方で、ブロックチェーン分析企業の Chainalysis によると、ランサムウェア・ギャングたちは、2021年に $765 million という記録的な収益を上げたが、2022年は $456.8 million の収益であり、約 40％の大幅減収となったという。しかし、この大幅な減収は、攻撃の減少ではなく、被害者による身代金拒否に起因している。

今年は、米国司法省／FBI／シークレット・サービス／欧州警察などが関与する国際的な法執行活動の一環として、Hive ランサムウェアのデータ流出と、Tor 支払い用ダークウェブサイトが押収され、ランサムウェア・グループに対する大きな勝利で幕を開けた。

Hive のサーバに侵入した FBI は、その通信記録／マルウェアのファイル・ハッシュ／250 のアフィリエイト詳細情報などへのアクセスに成功し、Hive の被害者たちに 1,300以上の復号キーを配布した。同日に、米国務省は、ランサムウェア Hive などの脅威アクターと、外国政府を結びつけるのに役立つ情報に対して、最高で $10 million を提供することを発表した。

最近の Microsoft をめぐる攻撃に関して、Microsoft 自身が感じている懸念を、BleepingComputer がまとめたという感じの記事です。特に、オンプレミスで Exchange Server を運用している組織にとって、役立つ情報が整理されているように思えます。よろしければ、以下の記事も、ご参照ください。

2023/01/26：ProxyNotShell：緩和策では攻撃を防げない
2023/01/12：Cuba ランサムウェアも Exchange 侵害に参戦
2023/01/10：CISA KEB 警告 23/01/10：Exchange の脆弱性
2023/01/05：Microsoft と Rackspace：Exchange を巡って衝突？
2023/01/03：ProxyNotShell：60,000 台以上のサーバがパッチ未適用