Cisco Japan Blog

脅威情報ニュースレター(2023 年 5 月 11 日):ランサムウェアの減少は何だったのか

1 min read



今週も脅威情報ニュースレターをお届けします。

数週間前に書いたニュースレターで、官民の連携により、セキュリティコミュニティがランサムウェアとの戦いでどのように一定の成果を上げているかを紹介しました。

報告によるとpopup_icon、ランサムウェア攻撃グループの収益は 2022 年に落ち込みを見せました。最近になって Hive など大規模なランサムウェアグループのネットワークが閉鎖に追い込まれたことにより、少なくとも一部のグループについては、今のところ活動休止を余儀なくされているようです。

さまざまなサイバーセキュリティ研究者、ソートリーダー、政策立案者を対象とした調査の結果を見ると、防御側がいまだに直面する最大の問題がランサムウェアであることに変わりはないのかについては、意見が分かれているpopup_iconようです。

ホワイトハウスと米国司法省は、ランサムウェアグループとダーク Web サイトを閉鎖に追い込む取り組みに関して強気な姿勢を示しているpopup_iconようです。

ところが先日、ランサムウェアが依然としてニュースで大きく取り上げられていることに気づきました。裏付けを取ったわけではないのですが、思い浮かんだ最近の主な事例をご紹介します。

  • テキサス州ダラス市へのランサムウェア攻撃popup_iconが、水曜日の時点でも多くの市民サービスの停止を招いています。警察の通信システムがダウンし業務に支障が出ているほか、個人情報が危険にさらされている可能性があります。
  • ランサムウェアグループ BlackCat が、コンピュータドライブ メーカー Western Digital 社への攻撃を行ったpopup_iconと主張しています。顧客のクレジットカード番号の一部などを盗み出したとのことです。
  • カリフォルニア州サンバーナーディーノ郡は、ランサムウェアインシデントを解決するために 110 万ドルを支払いましたpopup_icon
  • 英国に拠点を置く Capita 社(アウトソーシングおよびプロフェッショナルサービスの会社)が、同社のシステムを狙った最近のランサムウェア攻撃により、最大で 2,500 万ドルの損害を被る可能性があるpopup_iconと発表しました。この中に、身代金の支払いが含まれるかについては言及していません。

ここに挙げたものは最近のランサムウェア攻撃のほんの数例に過ぎませんが、2023 年のランサムウェアの動向についてどういう立場を取るのか、自分のスタンスを見直すきっかけになりました。攻撃者にとって、ランサムウェアは以前ほど儲かるものではないのかもしれませんが、攻撃の量はそれほど変わっていないのかもしれません。この両方があり得るということで、納得のいく答えを探しているところです。

ランサムウェア、サイバー保険、要求された身代金を支払うかどうかについて知識が増えてきたことで、ランサムウェア攻撃を受けた企業が、たとえば 2020 年と比べると、より迅速に立ち直り回復する準備が整ってきたという可能性も考えられます。

多くの企業は現在、(Talos IR のような)インシデント対応チームとリテーナー契約を結び、攻撃を受けた場合にリアルタイムで支援を受ける体制を整えています。バックアップの重要性が声高に叫ばれるようになったこともあり、ランサムウェアの被害者が以前のようには身代金を支払わなくなっていて、バックアップとゴールデンイメージを使用するだけで迅速に復旧して通常業務を再開できているのかもしれません。

2023 年のランサムウェアの動向について断定的なことを言うのは早過ぎますが、2024 年 2 月に発行する次回の『一年の総括』レポートで、相変わらずランサムウェアが話題になっているのか答え合わせをするのが楽しみです。

重要な情報

Talos の研究者は、「Greatness」という新たな PhaaS(Phishing-as-a-Service)ツールが出回り、企業を標的にした攻撃で使用されていることを発見しました。複数の大陸で確認されています。Greatness には、最も高度な PhaaS に見られる複数の機能(多要素認証(MFA)のバイパス、IP フィルタリング、Telegram ボットの統合など)が組み込まれています。

注意すべき理由

Greatness は、だまされるのも無理はないようなフィッシングページを作成し、大規模な組織から Microsoft Office のログイン情報を窃取します。「サービスとしての」ツールであることから、その気になれば誰でもこのツールへのアクセス権を購入できるでしょう。2022 年半ばにはすでに Greatness が攻撃に使用されているのを確認しているため、しばらくの間は鳴りを潜めると考える理由はどこにもありません。

必要な対策

Greatness は新たに登場した高度なフィッシング脅威ではありますが、検出と防止という点では、基本的にはすべてのフィッシング脅威やスパム脅威への対策と変わりません。すべての組織がフィッシングの危険性を周知し、不審な電子メールや添付ファイル、リンクを見破る方法をユーザーに教える必要があります。

今週のセキュリティ関連のトップニュース

PaperCut の重大な脆弱性に対する最新のエクスプロイトコードが公開され、既存の検出のバイパスが可能に。この脆弱性は CVE-2023-27350 として追跡されており、PaperCut MF または NG バージョン 8.0 以降に存在します。認証されていない攻撃者がリモートでコードを実行できる脆弱性であり、ランサムウェア攻撃で盛んに使用されています。最初のエクスプロイトコードは数週間前に公開されました。今回新たに公開された POC はすでに導入されている Sysmon ベースの検出を回避できます。また Microsoft 社のセキュリティ研究者によると、イラン政府が支援する 2 つの攻撃グループ(MuddyWater および Charming Kitten)が現在、PaperCut MF/NG 印刷管理ソフトウェアの脆弱性を悪用しているとのことです。この脆弱性の CVSS シビラティ(重大度)スコアはもともと 9.8 点でした(情報源:Bleeping Computerpopup_iconSecurityWeekpopup_icon)。

今週 FBI が、悪名高いロシアの Snake マルウェアのネットワークを閉鎖に追い込んだと発表。感染したコンピュータ上でプログラムを自己破壊させるツールが使用されました。米国サイバーセキュリティ インフラストラクチャ セキュリティ庁(CISA)のリリースによると、50 を超える国々で Snake のインフラが発見されたとのことです。ロシア連邦保安庁(FSA)は、Snake を使用して知名度の高い標的を狙い、機密情報を収集することで知られていました。FBI は Snake をロシアの「主要な諜報ツール」と呼んでいます。他にも数か国のサイバーセキュリティ機関が、感染したマシンが復旧する可能性があるか、また Snake の機能を継続的に低下させるための追加措置について、詳細を発表しました(情報源:CBS Newspopup_iconCISApopup_icon)。

今週公開の Microsoft セキュリティ更新プログラム(月例)で話題になった 2 件の脆弱性の悪用が確認される。今月は比較的件数が少なく、全部で 40 件の脆弱性が公開されています。1 か月あたりの件数としては、2019 年 12 月以降で最少でした。ゼロデイ脆弱性のうちの 1 件が CVE-2023-29336 で、これは Win32k カーネルモードドライバの特権昇格の脆弱性です。攻撃者に SYSTEM 権限を取得されてしまう恐れがあります。もう 1 件が CVE-2023-24932 で、セキュアブートのセキュリティ機能がバイパスされる問題です。BlackLotus マルウェアグループがすでにこの脆弱性を悪用しています。全体としては、7 件の「緊急」の脆弱性のほか、「重要」と評価された脆弱性が 33 件含まれています(情報源:Talos のブログ記事Krebs on Securitypopup_icon)。

Talos が発信している情報

Talos が参加予定のイベント

BSidesFortWayne popup_icon5 20 日)

フォートウェイン(インディアナ州)

Cisco Live U.S. popup_icon6 4 日~ 8 日)

ラスベガス(ネバダ州)

Talos のテレメトリで先週最も多く確認されたマルウェアファイル

SHA 2569f1f11a708d393e0a4109ae189bc64f1f3e312653dcf317a2bd406f18ffcc507popup_icon
MD5 2915b3f8b703eb744fc54c81f4a9c67f
一般的なファイル名: VID001.exe
偽装名:なし
検出名: Win.Worm.Coinminer::1201

SHA 2565616b94f1a40b49096e2f8f78d646891b45c649473a5b67b8beddac46ad398e1popup_icon
MD53e10a74a7613d1cae4b9749d7ec93515
一般的なファイル名: IMG001.exe
偽装名:なし
検出名: Win.Dropper.Coinminer::1201

SHA 256e4973db44081591e9bff5117946defbef6041397e56164f485cf8ec57b1d8934popup_icon
MD5 93fefc3e88ffb78abb36365fa5cf857c
一般的なファイル名: Wextract
偽装名:Internet Explorer
検出名: PUA.Win.Trojan.Generic::85.lp.ret.sbx.tg

SHA 25659f1e69b68de4839c65b6e6d39ac7a272e2611ec1ed1bf73a4f455e2ca20eeaapopup_icon
MD5 df11b3105df8d7c70e7b501e210e3cc3
一般的なファイル名: DOC001.exe
偽装名:なし
検出名: Win.Worm.Coinminer::1201

SHA 256e12b6641d7e7e4da97a0ff8e1a0d4840c882569d47b8fab8fb187ac2b475636cpopup_icon
MD5 a087b2e6ec57b08c0d0750c60f96a74c
一般的なファイル名: AAct.exe
偽装名:なし
検出名: PUA.Win.Tool.Kmsauto::1201

 

本稿は 2023 年 05 月 11 日に Talos Grouppopup_icon のブログに投稿された「Threat Source newsletter (May 11, 2023) — So much for that ransomware declinepopup_icon」の抄訳です。

 

コメントを書く