ランサムウェア「Avaddon」は、データの暗号化と同時に窃盗や恐喝を行うサービスとしてのランサムウェア (RaaS) です。Avaddon は 2019 年から存在していましたが、2020 年 6 月以降、さらに攻撃的になり影響も深刻になっています。このランサムウェアサービスの加入者、つまり顧客は悪意のあるスパムやフィッシングキャンペーンにより攻撃用の JavaScript ファイルを配信し、いくつもの国のさまざまな標的に Avaddon を展開しています。
Avaddon に感染した企業はデータを暗号化されるだけでなく、Avaddon のリークサイトでデータが公開される恐れもあります。さらに、最近では分散型サービス拒否 (DDoS) 攻撃によって業務が妨害されるリスクもあります。これらの手法は、被害者に要求した身代金を支払うよう圧力をかけるためのものです。
この記事の情報が、Avaddon による攻撃を受ける恐れのある IT 管理者にとって一助となれば幸いです。
2021 年 5 月 17 日の報道によると、ランサムウェア「Avaddon」を操っている攻撃者は、サービスへの加入者および標的をさらに選別し、サービスを「非公開」に設定しています。また、政府、医療、教育、慈善団体などの業界への攻撃には加担しないと述べており。
編注: 本記事は、現在拡散しているランサムウェアを紹介する「影響と対策」ガイドの新シリーズのうちの一つです。ランサムウェア「conti」についてのガイドはこちらをご覧ください。
この記事は、上のプレーヤーでもお聞きいただけます
直ちに実行するべき対策:封じ込めと無効化
最初にすべきことは、攻撃が進行中かどうかを判断することです。 攻撃が行われている疑いがあり、阻止するためのツールがない場合は影響を受けたデバイスを特定し、直ちに隔離しましょう。最も簡単な方法は、ネットワークケーブルを抜いたり、Wi-Fi アダプタの電源を切ったりすることです。被害が数台のデバイスに留まらない場合は個々のデバイスではなく全体としての対応を考え、ネットワークセグメント全体をオフラインにすることを検討しましょう。ネットワークを切断できない場合は、デバイスのみをシャットダウンしてください。
第二に、被害状況を評価する必要があります。どのエンドポイント、サーバー、OS が影響を受け、何が失われたのか、バックアップは無傷かどうか、攻撃者により削除されたのかどうかなどを確認しましょう。バックアップが無傷であれば、すぐにオフラインコピーを作成してください。また、保護されていたマシンを確認しましょう。これは復旧に役立つはずです。
第三に、包括的なインシデント対応計画を策定する必要があります。 I策定していない場合は、このインシデントへの対応に誰が関与すべきかを考える必要があります。IT 管理者および経営幹部は必ず参加する必要がありますが、さらに外部のセキュリティ専門家を招いたり、サイバー保険や法律顧問と相談する必要もあるかもしれません。インシデントを法執行機関に報告したり、データ保護当局に報告する必要も考えられます。また、ユーザーや顧客のデバイスの元に身代金の請求書が届いている場合もあり、彼らにどのような情報を提供すべきかという問題もあります。
最後に、攻撃者は盗聴している可能性があるので、メールなどの通常の通信手段は使用しないでください。侵入者がネットワークにしばらく常駐していた場合、おそらく電子メールなどにアクセスしているはずです。
次に行うべきこと:調査
攻撃を封じ込めて無力化した後は、何が起こったのかを時間をかけて調査し、再発の可能性を減らしましょう。自社で十分な調査を行う自信がない場合は、ソフォスを始めとするセキュリティベンダーが 24 時間 365 日体制でインシデント対応を行ったり、脅威ハンティングの専門家を派遣したりしています。
ソフォスの Rapid Response チームの経験から、Avaddon がネットワークを攻撃した場合、次のような被害が受ける恐れがあります。
1. 攻撃者は数日あるいは数週間前からネットワークに侵入している可能性があります。 Avaddon はデータを窃取する RaaS であり、身代金で得た利益の一部を得るサービスの加入者によって運営されています。加入者は、標的のネットワークを時間をかけて探索し、価値の高いデータを見つけて盗み出すことで最も大きな混乱を引き起こし、より高い身代金を請求します。
ソフォスのインシデント対応チームは、Avaddon 攻撃では侵入者は約 10 日から 28 日の間ネットワークに常駐していることを確認しています。
2. 攻撃者は、さまざまな方法でネットワークに侵入する可能性があります。Avaddon による主要なアクセス方法としては悪意のある JavaScript ファイルを配信するスパムキャンペーン、外部に公開されている RDP (リモートデスクトッププロトコル) サービス、脆弱な仮想プライベートネットワーク (VPN) などがありますが、これらに限定されません。Shodan.io のようなサイトでは、攻撃者が自社のネットワークについて知り得る情報を調べることができます。自社が外部に公開している IP アドレスで検索してみてください。
Avaddon の攻撃者は Windows および Linux システムの両方を攻撃対象にしています。
3. 攻撃者は、ドメイン管理者アカウントや他のユーザーアカウントへアクセス権を取得します。 攻撃者は通常、いくつものアカウントを侵害します。主な目的は、ランサムウェアの起動に使用できるドメイン管理者アカウントへのアクセスを得ることです。しかし、機密データ、バックアップシステム、セキュリティ管理コンソールへのアクセス権限がある管理者アカウントも標的となることがあります。
Avaddon の攻撃者は Mimikatz のようなツールを使用してアカウントのアクセス認証情報を盗み、ネットワークに侵入した後は権限を拡大します。Mimikatz は、実行中の Microsoft LSASS.exe プロセスから現在ログオンしているユーザーのユーザー名およびパスワードのハッシュを含む情報を取得できます。また、攻撃者はこのプロセスを実行したまま標的のマシン一部を意図的に故意に破壊し、修正のため管理者がログインするように仕向けることがあります。管理者がログインすると、攻撃者は認証情報を取得します。
Mimikatz がセキュリティソフトによりブロックされると、攻撃者は代わりに Microsoft Process Monitor のような管理ツールを使用して LSASS.exe のメモリをダンプし、そのダンプファイルを攻撃者のマシンに転送し、Mimikatz を使用して情報を抽出することがあります。Mimikatz は情報をメモリから直接取り出すため、パスワードの長さや複雑さに関わらず情報を盗み出すことができます。
4. 攻撃者は被害者のネットワークをスキャンしている可能性があります。サーバーやエンドポイントの数、バックアップや業務上必要なデータ、アプリケーションがどこにあるのかを把握しています。攻撃者がネットワークに侵入して最初に実行する操作の 1 つは、ローカルマシン上のアクセス権限を確認することです。その後、どのようなリモートマシンが存在し、それらにアクセスできるかどうかを確認します。
Avaddon のオペレーターは、自らがコマンドを手動で実行する攻撃者と同様に RDP を用いてネットワーク内を水平移動し、価値の高い情報のあるサーバーやコンピュータに侵入します。
5. 攻撃者は、ネットワークへの侵入を繰り返し、別ツールをインストールするバックドアをダウンロードし、インストールしている可能性があります。 また、盗んだ情報を収集・保存するためのフォルダやディレクトリ、攻撃者同士の通信やネットワークからの情報を外部に転送するためのチャネルも設定している場合があります。
バックドアにはさまざまな形態があります。攻撃者の IP アドレスに通信を返し、マシンへのコマンドの送受信を可能にするだけのものもあります。
多くのバックドアは正規のアプリケーションとして分類されています。たとえば、攻撃者はアクセスを維持するために RDP などのリモート管理ツールを使用することがあります。RDP がデフォルトで無効になってても、マシンの管理者権限を持つ攻撃者は簡単に再度有効化できます。また、正規のツールの AnyDesk も攻撃に利用されるケースが多くあります。AnyDesk は、マウス/キーボードの操作や画面の表示など、マシンを直接制御できるようにするツールです。
Avaddon のオペレーターは侵入後に、高度なペネトレーションテストツールの Cobalt Strike を使用します。攻撃者は Cobalt Strike の「ビーコン」を設置しようとすることが多くあります。これにより、Cobalt Strike サーバー (Avaddon 攻撃のための「C&C サーバー」) と定期的に通信でき、攻撃者はマシンを完全に制御できるようになります。また、このビーコンを利用して、ネットワーク内の他のマシンにも簡単にビーコンを設置することができます。
6. Avaddon のオペレーターはデータの暗号化やソフトウェアおよび通常の業務への妨害に加え、ランサムウェアによる主な攻撃を実行する前に企業データを外部に流出させようとします。Avaddon を含む攻撃を調査したインシデント対応チームは、このオペレーターがアーカイブツールの WinRar を使用して流出させるデータを収集した後、同社の MegaSync アプリケーションを使用してクラウドストレージサーバー (www.Mega.nz) にデータを流出させていることを発見しました。Mega は匿名性を確保できることから、攻撃に広く使われています。
7. 攻撃者は、バックアップの暗号化、削除、リセット、またはアンインストールを試みます。 バックアップはオフラインで保存されていない限り、常に攻撃者がアクセスできると考えてください。オンラインで利用できるようにしている「バックアップ」は、同じように暗号化される第 2 のコピーに過ぎません。
8. 攻撃者はネットワークで使用されているセキュリティソフトを識別し、無効に使用とします。 どれほど優れた保護機能を備えているセキュリティソフトでも、攻撃者に無効化されては効果はありません。
Windows Defender などの無料のデフォルトツールは、十分な管理者権限を持つ人であれば簡単に無効にできます。最近のランサムウェアのほとんどがこの無効化の処理を自動化しています。また、攻撃者はランサムウェアによる攻撃を開始する直前にすべての保護機能を無効にするため、高度なセキュリティソフトの管理コンソールを見つけてアクセスしようとします。
ローカルにホストされているセキュリティ管理コンソールは、攻撃者が乗っ取ったアカウントによりアクセスされて無効化される危険性が特に高くなります。
9. 攻撃において外部から最も把握しやすいランサムウェアの実行については、 処理に長時間を要するファイルの暗号化に気づいて防止できる IT 管理者やセキュリティの専門家がオンラインではない時間帯に実行されており、おそらく深夜や週末に実行されたと考えられます。
注: ファイルの暗号化処理には時間がかかります。ランサムウェアによって暗号化された Windows のエンドポイントには数万から数十万の暗号化されたファイルが存在することになります。大規模なファイルサーバーの場合、その数は数百万にもなる可能性があります。このような理由から、標的型ランサムウェアの攻撃は、監視しているユーザーが少ない深夜や週末、あるいは休日に行われることが多くなっています。
この段階までは攻撃者は自身の存在を隠蔽しようとしますが、ここから方針を転換し、自らの存在と攻撃の内容について公にします。被害者にどれだけのデータが失われたかを確認させ、データの消失が悪意による操作によるものであることを理解させ、データを復号化するための身代金の支払いを求めます。
攻撃を実行していることを周知するため、多くのランサムウェア攻撃では、暗号化されたファイルの末尾に新しく拡張子を追加します。たとえば、「MyReport.docx」は、「MyReport.docx.encrypted」のように拡張子が追加されます。身代金を要求するメモは多くのフォルダに目立つように配置されていることが多く、混乱とストレスを助長します。
10. ランサムウェアは、すべてのエンドポイントと、攻撃時にオンラインであったサーバーに展開されます。 ランサムウェアは、通常のアプリケーションと同様に「展開」されます。ほとんどの攻撃では、ランサムウェアが全方位にランダムに広がることはありません。エンドポイントではなくサーバーが暗号化されていたとしたら、それは攻撃者がサーバーだけを標的にしたからです。
ランサムウェアはさまざまな方法で展開されます。Avaddon の場合、攻撃者はネットワーク上のエンドポイントやサーバーでタスクをスケジュールし、あらかじめ定められた時間にランサムウェアを展開したと考えられます。
また、さまざまな種類のランサムウェアが共通して使用しているのが、バッチスクリプトとリモートマシン上でコマンドを実行するツールである Microsoft の PsExec ツールを組み合わせた方法です。攻撃者は、対象の IP アドレスのリストをループするバッチスクリプトを作成し、PsExec を使用してランサムウェアを各マシンにコピーしてから実行します。
ソフォスの製品を含むほとんどのセキュリティソフトでは、デフォルトで PsExec をブロックしていますが、管理者が利便性を重視し、ネットワークで PsExec の使用を許可している場合も多く、また残念ながらこの事実は攻撃者にも悪用されています。
攻撃者は、既存のグループポリシーオブジェクト (GPO) のログオンスクリプトを作成または編集することもできます。ログオンスクリプトが作成されていることに気づかなければ、マシンが起動してドメインに接続するたびに攻撃が再開される恐れがあります。これは GPO が原因ですが、ランサムウェアが「現在進行形で拡散している」ように見えてしまいます。
11. ランサムウェアが実行されても攻撃は終わりではありません。 Avaddon の攻撃者は、以前にインストールしたツールを使ってネットワークに常駐し、状況を監視したり、電子メールのやり取りまでも監視して、ランサムウェアにどのように対応するかを確認することがあります。たとえば CEO へのメールで「あるサーバーのバックアップは暗号化されていないから大丈夫だ」と連絡して、攻撃者がその文面を読んでなおそのサーバーへのアクセス権を保持していたとしたら大惨事になりかねません。
また、攻撃者はファイルが復旧されるまで待ってから 2 回目の攻撃を行い、身代金が支払われるまで攻撃を続けることができると強調することもあります。
Avaddon の攻撃者は、被害者に支払いを迫るための戦略をもう 1 つ持っています。それは、業務や通信を妨害するために DDoS 攻撃を仕掛けることです。
12. ネットワーク内に侵入することにより、攻撃者は業務上必要な秘密情報を盗み出し、公に公開している可能性があります。Avaddon RaaS の管理者は、「リークサイト」である avaddongun7rngel[.]onion を運営しています。Avaddon のサービス加入者が攻撃した標的は、身代金を支払わない限りデータが Web サイト上で誰でも閲覧できるように公開される危険性があると脅されます。貴重なデータの一部は他の攻撃者に売却され、さらなる攻撃に利用される恐れがあります。
Avaddon の攻撃者は、標的からの連絡がない場合や交渉が決裂した場合、攻撃の数日後から 1 週間後に、盗んだデータの公開を開始すると主張しています。通常、保有していると主張するデータの約 5% を公開することから始めます。しかし、公開されるまでには数週間、あるいはそれ以上かかることもあります。
さらに、攻撃者は身代金と引き換えに情報を削除することを約束する場合がありますが、実行される保証はありません。
対策
将来に向けて IT セキュリティを強化するために、以下のようなプロアクティブな取り組みが必要です。
- ネットワークセキュリティを 24 時間 365 日監視し、攻撃者の存在を示す 5 つの初期指標を意識することで、ランサムウェア攻撃を未然に防ぐことができます。
- インターネットに接続するリモートデスクトッププロトコル (RDP) を停止し、サイバー犯罪者がネットワークにアクセスできなくしてください。RDP へのアクセスが必要な場合は VPN 接続を利用し、多要素認証 (MFA) の使用を徹底してください。
- フィッシングや悪意のあるスパムについて注意すべき点を従業員に教育し、強固なセキュリティポリシーを導入してください。
- 重要で最新のデータをオフラインストレージデバイスに定期的にバックアップしてください。推奨されるバックアップの方法は、「3-2-1」メソッドに従うことです。これは、3 つのコピーを取り、2 つの異なるバックアップシステムを使い、コピーのうちの 1 つはオフラインで保管する手法です。
- 攻撃者がセキュリティ機能にアクセスして無効化するのを防止してください。多要素認証を有効にしたクラウド型管理コンソールや、アクセス権を制限するロールベースの管理機能を実装する高度なセキュリティソフトを選択しましょう。
- あらゆる状況でセキュリティを確保できる「万能薬」は存在しません。徹底的な多層防御のモデルが不可欠であることを忘れないでください。
- 効果的なインシデント対応計画を策定し、必要に応じて更新してください。脅威を監視したり、緊急事態に対応するためのスキルやリソースを備えている自信がない場合は、外部の専門家に支援を求めることを検討しましょう。
結論
サーバー攻撃への対処は大変です。目の前の脅威だけ取り除いてしまいたいと思うかもしれませんが、それでは攻撃の根をすべて摘むことはできません。攻撃者がどのように侵入したかを特定するために時間をかけ、失敗から学び、セキュリティを改善することが重要です。そうしなければ、同一の、あるいは別の攻撃者が連続で同じ攻撃を仕掛けてくるリスクがあります。
その他の資料
- 24 時間 365 日攻撃を封じ込め、無力化し、調査するソフォスの Rapid Response サービスについてはこちらをご覧ください。
- インシデント対応ガイドや、ソフォスの Rapid Response チームおよび Managed Threat Response チームによるセキュリティインシデント対応のための 4 つの重要なヒントをお読みください。
- ランサムウェアの種類に関する技術的な情報はソフォスの最新の脅威情報を提供する SophosLab Uncut に掲載されており、セキュリティ侵害の痕跡 (IoC) や戦術、技法、手順 (TTP) も含まれています。
- 攻撃者の行動、インシデントレポート、セキュリティ運用担当者向けのアドバイスなどの情報は Sophos News SecOps に掲載されています。
- 典型的な攻撃者の行動や TTP については、ソフォスの「Active Adversary Report 2021(敵対行為レポート 2021 年版)」に詳しく記載されています。
- ランサムウェアの世界的な普及と影響については、「ランサムウェアの現状 2021 年版」で詳しくご紹介しています。