** 本記事は、What to expect when you’ve been hit with REvil ransomware の翻訳です。最新の情報は英語記事をご覧ください。**
Sodinokibi としても知られる REvil は、2019 年から広く利用されているサービスとしてのランサムウェア (RaaS) です。犯罪者は、REvil ランサムウェアを開発者からリースし、標的や実装環境に合わせて独自のツールやリソースを追加できます。そのためREvil ランサムウェアによる攻撃のアプローチと影響は多岐にわたっており、防御側が適切な対策を立てることが困難になっています。
本記事に掲載されている情報が、REvil による攻撃に現在直面している、あるいは攻撃を厳重に警戒している IT 管理者のお役に立つことを願っています。本調査結果は、REvil を含む複数のサイバー攻撃を調査したソフォスの Rapid Response チームの考察に基づいています。
注: 本記事は、現在拡散しているランサムウェアを紹介する「影響と対策」ガイドの新シリーズのうちの一つです。ランサムウェア「Conti」と「Avaddon」についてはこちらをご覧ください。
即座に実行すべきこと – 封じ込めと無力化
最初に、攻撃が進行中かどうかを判断しましょう。攻撃が現在進行形で続いていると疑われ、またそれを防ぐためのツールがない場合は、影響を受けたデバイスを特定して、すぐに隔離してください。単純に、影響を受けたデバイスとすべてのネットワークとのつながりを切りましょう。被害が数台以上のデバイスに及ぶ場合には、個別に対応するのではなくスイッチレベルでの対応を考え、ネットワークセグメント全体をオフラインにすることを考えてみましょう。ネットワークが切断できない場合は、デバイスのみをシャットダウンしてください。
次に、被害状況を評価する必要があります。確認すべきポイントは、どのエンドポイント、サーバー、そして OS が影響を受け、結局何が失われたのか、バックアップは無傷かはたまた攻撃者により削除されたのかどうかなどです。バックアップが無傷であれば、すぐにオフラインコピーを作成してください。また、どのマシンが保護されていたかを確認しましょう。これは復旧の大きな助けになるでしょう。
その後、包括的なインシデント対応計画を策定する必要があります。策定していない場合は、誰が主体的にこのインシデントに対応すべきなのかを明確にする必要があります。IT 管理者と経営幹部の参加はもちろんですが、必要であれば外部のセキュリティ専門家を招いたり、サイバー保険や法律顧問と相談したりしなければならないかもしれません。インシデントを法執行機関やデータ保護当局に報告しなければならない場合もあります。また、多くの従業員のデスクトップに同様の身代金請求書が送られている可能性があり、従業員に提供するべき情報についても検討しなければならない場合があります。
最後に、従業員や顧客などの関係者に状況を知らせる必要がありますが、侵入者がネットワークに常駐していた場合、電子メールなどから盗聴されるおそれがあるため、通常の通信手段は使用しないでください。
次にすべきこと – 調査
攻撃の封じ込めと無力化をした後は、何が起きたのかを時間をかけて調査しインシデントの再発を防ぎましょう。自社の調査では不安を感じる場合は、ソフォスをはじめとするセキュリティベンダーが 24 時間 365 日体制でインシデント対応や脅威ハンティングを行う専門のサービスを利用してください。
Sophos Rapid Response チームによると、ネットワークに侵入した REvil/Sodinokibi ランサムウェアの影響として、以下のことが挙げられます。
- 攻撃者は数日~数週間前からネットワークに常駐していた可能性が高い。
攻撃者は、開発者から借り受けた REvil ランサムウェアに、独自のツールとターゲットを追加します。数百万ドル規模の身代金を要求することで知られる REvil の攻撃者は、攻撃の被害を最大限にするための準備に十分な時間をかけます。
<em注:ランサムウェアの攻撃者がネットワーク内に到着する前に攻撃が始まっていることがあります。最近の REvil 攻撃を調査したソフォスの専門家は、フィッシングメールと受信から 2 カ月後に起きた数百万ドル規模の身代金請求攻撃との間に直接的な関連性があることを発見しました。このフィッシングメールはおそらく初期アクセスのブローカーが送ったもので、これにより従業員のアクセス認証情報が流出しました。そのブローカーは数週間後に PowerSploit と Bloodhound を使ってネットワークに侵入・移動し、価値の高いドメイン管理者の認証情報を探し出したと思われます。REvil の攻撃者は後にこれらの認証情報をブローカーから買取り、ターゲットのネットワークに侵入しました。
- 攻撃者は、さまざまな方法を駆使してネットワークに侵入します。
REvil ランサムウェアが最初にアクセスする方法としては、たとえばファイアウォールなどの既知の脆弱性に対するエクスプロイト、前述のようなスパムメールによるユーザー認証情報のフィッシング、仮想プライベートネットワーク (VPN) などのインターネットに面したサービスに対するブルートフォース攻撃、公開されたリモートデスクトッププロトコル (RDP) 、Virtual Network Computing (VNC) などのデスクトップ遠隔管理ツール、さらには一部のクラウドベースの管理システムなどが考えられますが、これら以外の方法も存在します。
Shodan.io のようなサイトでは、攻撃者の手にわたりやすいネットワークに関する情報を知ることができます。お使いの外部 IP アドレスを検索してみてください。
- 攻撃者は、一般のユーザーアカウントだけでなく、ドメイン管理者アカウントも利用できるようになります。
攻撃者は多くの場合、攻撃の際にいくつものアカウントを乗っ取ります。攻撃者の主要な目的は、ランサムウェアの起動に使用できるドメイン管理者アカウントにアクセスすることです。しかしそれだけという訳ではなく、機密データ、バックアップシステム、セキュリティ管理コンソールにアクセスできる特定の管理者アカウントも標的にします。
REvil の攻撃者は Mimikatz などのツールを使用します。そうすることで実行中の Microsoft LSASS.exe プロセスから、現在ログオンしているユーザーのユーザー名とパスワードのハッシュをキャッシュすることができるからです。時々、攻撃者がこのプロセスを実行したままにしておき、標的としたマシンの何かをわざと破壊して、その修復のために管理者がログインするように仕向けることもあります。そうして攻撃者はこの管理者の認証情報を盗み出します。
Mimikatz がセキュリティソフトウェアによってブロックされている場合は、攻撃者は代わりに Microsoft Process Monitor などのツールを使用して LSASS.exe のメモリダンプを実行します。自分のマシンに持ち帰ったダンプファイルから、Mimikatz を使用して情報を抽出します。Mimikatz は情報をメモリから直接取り出すため、どれほどパスワードが長くて複雑でも関係ありません。
- ネットワークはすでにスキャンされている可能性があります。攻撃者はサーバーとエンドポイントの数や、バックアップ、ビジネス上の重要なデータ、アプリケーションをどこに保管しているかを把握しているおそれがあります。
攻撃者がネットワークに侵入して間もないうちに行うことは、ローカルマシンで何にアクセスできるのかの特定です。その後、どのようなリモートマシンが存在するのか、それらのリモートマシンはアクセス可能かどうかを調査します。
攻撃者は、有効性が高くブロックされる可能性の低い 「Advanced Port Scanner」や「Angry IP Scanner」などの正規のネットワークスキャナーを使用します。これらのスキャナーが IP とマシン名のリストを生成します。ほとんどの組織が、たとえばニューヨークのドメインコントローラーを「NY-DC1」と名付けたり、「FileServer01」「Backup_Server」などのわかりやすい名前をサーバーに付けたりしているため、攻撃者はリストの中から重要なインフラを簡単に見つけ出します。
- 攻撃者は、ネットワークに出入りして別のツールをインストールするためのバックドアを、すでにダウンロードしてインストールしている恐れがあります。
盗み出した情報を収集して保存するためのフォルダやディレクトリ、および、攻撃者と通信したり、ネットワーク外に情報を持ち出したりするためのチャネルもすでに設定されている可能性があります。
バックドアの形態は多様で、あるタイプのバックドアは攻撃者の IP アドレスと通信し、マシンへのコマンドの送受信を可能にするだけの働きです。
バックドアであっても、その多くが、正規のアプリケーションとして分類されます。たとえば、攻撃者はアクセスを維持するために RDP などのリモート管理ツールを使用する場合があります。マシンの管理者権限を持つ攻撃者が、RDP がデフォルトで無効になっている RDP を再び有効にするのは非常に簡単です。
一般的なツールとしては他に、Screen Connect 、AnyDesk 、TightVNC 、PC Anywhere などがあります。これらのツールを使って、攻撃者はマウスやキーボードの操作や画面表示などを直接的に制御できます
注:ソフォスが調査したある REvil 攻撃では、攻撃者は Screen Connect リモートアクセスツールを 130 台のデバイス (ネットワークの約 3 分の 1) にインストールしており、他の場所で削除されたりブロックされたりしても継続してアクセスできるようにしていました。
攻撃者は Cobalt Strike (攻撃後に使用されるペネトレーションテストツール) などのより高度なツールを使用することもあります。攻撃者は、Cobalt Strike の「ビーコン」を設置することで、Cobalt Strike サーバーとの定期的な通信が可能になり、攻撃者はマシンを完全に制御できるようになります。また、このビーコンを使ってネットワーク内の他のマシンにもビーコンを簡単に設置することができます。
- REvi の攻撃者の中には、データの暗号化とソフトウェアや業務の停止に加えて、ランサムウェア本体の攻撃に先立って数百ギガバイトに及ぶ企業データの流出を企てる者もいます。
<pソフォスの専門家は、調査した REvil と Sodinokibi 攻撃の約半分でしかこの数段階に及ぶ恐喝を確認していませんが、それでもそのリスクを認識しておくのは重要です。攻撃者はたいてい、「身代金を支払わなければ盗んだ機密データを『リークサイト』と呼ばれるサイトで公開し、誰でもダウンロードできるようにする」と脅します。
ファイルサーバーを特定した攻撃者は、「アカウント」、「機密」、「社会保障番号」などのキーワードを「Everything」と呼ばれるツールで超高速検索にかけ、関連するファイルを探します。データを特定してしまえば、攻撃者がデータを盗み出す方法はいくつもあります。
例をあげると、オンラインの電子メールサービスにログインして電子メールでデータを送ったり、Dropbox のようなクラウドストレージプロバイダを利用したりすることができます。また、FileZilla や Total Commander FTP などの FTP クライアントをインストールして、自分のサーバーにデータをアップロードすることもできます。
攻撃者は、多くの場合大量のデータを自動的に抽出します。その際には、「RClone」のようなツールを使用します。「RClone」は、さまざまなクラウドストレージプロバイダに接続するコマンドラインツールです。
ソフォスが調査した REvil ランサムウェアのうち、データの流出を含む攻撃の約 75% で、盗まれた情報の一時的な保存に Mega.nz が使用されていました。Mega は、匿名性を高めることができるという理由で攻撃者達の間でよく使われています。RClone にいくつかの簡単なコマンドを送るだけで、攻撃者はディレクトリ全体を Mega に流出させることができます。
REvil の攻撃者の中には、FTP クライアント FileZilla のポータブルコピーをインストールして、ターゲットのネットワーク境界の外側にあるステージングサーバーにデータをアップロードするなど、他の方法を使用する者もいます。
- バックアップの暗号化、削除、リセット、アンインストールが行われているおそれがあります。
バックアップは、それがオフラインに保存されている場合を除き、いつでも攻撃者にアクセスされる危険にさらされています。常に利用可能なオンラインの「バックアップ」は、暗号化されるのをみすみすと待っているファイルコピーに過ぎません。
- 攻撃者は、ネットワーク上で使用されているセキュリティソリューションを特定し、それを無効化できるかどうかを検討しているでしょう。
どれほど優れた保護機能を備えていたとしても、攻撃者がそれをオフにしたり、ポリシーを変更したりできるのであれば意味がありません。REvil の攻撃者は GMER を使ってセキュリティソフトを無効にしようと試みます。GMER は、いくつかのセキュリティテクノロジーにより PUA (不要と思われるアプリケーション) として識別される場合がありますが、本質的には悪意のないアンチルートキットツールです。
REvil ランサムウェアの攻撃者がエンドポイント保護ツールを回避するために、データ暗号化の前にコンピュータをセーフモードに再起動するのをソフォスの専門家が確認しています。
管理者権限があれば、Windows Defender などの無料のデフォルトツールを即座に無効にすることができます。最近のランサムウェアのほとんどは、デフォルトで無効にすることを試みます。
また、攻撃者はランサムウェアを起動する直前にすべての保護を無効にするために、より高度なセキュリティソリューションの管理コンソールへのアクセスを試みます。
特に、ローカルでホストされているセキュリティ管理コンソールは、攻撃者がすでに乗っ取ったアカウントでアクセスできてしまうため危険です。
- 攻撃の中でも最も検出されやすいのが、ランサムウェアの展開ですが、これは、おそらく IT 管理者やセキュリティの専門家がオンラインで監視していない間に行われています。夜中や週末に長時間の暗号化プロセスを行うことで、気づかれたり阻止されるのを避けようとするのです。
注:暗号化プロセスには数時間かかります。暗号化された Windows エンドポイントでは、ランサムウェアによってのべ数万から数十万件のファイルが暗号化されます。大規模なファイルサーバーの場合、ファイルの数が数百万に及ぶ可能性があります。標的型ランサムウェア攻撃の多くが、深夜や週末、休日など従業員のあまりいない時間帯に開始されるのはこのためです。
これまで息を潜めてきた攻撃者ですが、ここからは正反対の戦術を用います。攻撃者は、ネットワークで、いままでどんな攻撃を加えてきたのかを標的に知らしめます。どれだけのデータが攻撃によって失われ、彼らがどれだけ悪意に満ちているかを見せつけてから、データの復号化と引き換えに身代金の支払いを求めます。
ほぼすべてのランサムウェア攻撃において、暗号化されたファイルに新しい拡張子が追加されているのは、そのためです。たとえば、「MyReport.docx」は「MyReport.docx.encrypted」になります。身代金の請求は複数の場所に目立つように表示されることが多く、それが被害者の混乱とストレスをより大きくします。
- ランサムウェアは、攻撃時にオンラインだったエンドポイントとサーバーに展開されています 。
ランサムウェアは通常のアプリケーションと同じように「展開」されますが、攻撃がランダムに全方向に広がることはほとんどありません。サーバーが暗号化されていてもエンドポイントは暗号化されていないとしたら、それは攻撃者がサーバーだけを標的にしたためです。
攻撃者はさまざまな手法でランサムウェアを展開します。ソフォスの専門家がよく遭遇するのは、バッチスクリプトと Microsoft PsExec ツールを組み合わせる手法です 。Microsoft PsExec は、リモートマシンでコマンドを実行するのに適しています。攻撃者は PsExec を使用してランサムウェアを各マシンにコピーして実行し、標的の IP アドレスのリストをループするバッチスクリプトを作成します。
ソフォスを含むほとんどのセキュリティソリューションは、デフォルトで PsExec をブロックしています。しかし、管理者は便利であるという理由から PsExec の使用を許可することが往々にしてあり、攻撃者もそのことに気づいています。
攻撃者は、既存のグループポリシーオブジェクト (GPO) ログオンスクリプトを作成または編集することもできます。標的ユーザーがこれに気付かなかった場合、マシンが起動してドメインに接続するたびに攻撃が再起動してしまうおそれがあります。これにより、実際には GPO によって実行されているだけのランサムウェアが、あたかも「拡散」しているように見えてしまいます。
- ランサムウェアの起動は最終段階ではありません。
攻撃者の多くは、準備段階で仕掛けたさまざまなアクセスメカニズムを利用して、状況を監視し続けます。標的の対応を監視するために、メールのやり取りまで盗み見ることも多くあります。CEO に宛てたメールに「サーバー X のバックアップは暗号化されていないから心配ありません」という記述があったとしましょう。攻撃者がサーバー X にアクセスしてそれを読んだ場合、それが大惨事につながるおそれがあります。
また、攻撃者は標的が復旧するのを確認してから 2 回目の攻撃を開始して、「身代金を払うまでこの攻撃を続ける」と脅しをかけることもあります。
- ネットワークに長く潜んでいた攻撃者は、その間にビジネス上の重要な機密情報を盗み出し、それをさらなる恐喝の手段にしてくる恐れがあります。
攻撃者の中には、電子メールや電話を使って従業員や企業関係者を精神的に追い込んでくる者もいます。
標的から連絡がなかったり交渉がうまくいかなかったりした場合、攻撃者の大多数は本攻撃の1 週間後には盗み出したデータを公開し始めます。しかし、情報が実際に公開されるまでには数週間もしくは以上かかることもあります。
もし仮に身代金を支払えば情報を削除すると攻撃者が約束したとしても、それが本当に削除される保証はどこにもありません。
対策
先を見据えた対策を講じれば、IT セキュリティをより強固なものにすることができます。以下を参考にしてください。
- ネットワークセキュリティを 24 時間 365 日監視し、攻撃者の存在を示す 5 つの早期指標に注意を払うことで、ランサムウェア攻撃を未然に防止します。
- インターネットに接続しているリモートデスクトッププロトコル (RDP) をシャットダウンして、サイバー犯罪者によるネットワークアクセスを拒否します。RDP へのアクセスが必要な場合は、RDP を VPN またはゼロトラストネットワークアクセス接続の背後に配置して、多要素認証 (MFA) を強制的に適用します。
- 従業員にフィッシングや悪意のあるスパム対策のトレーニングを実施し、強固なセキュリティポリシーを導入します。
- 最も重要なデータの最新版をオフラインのストレージデバイスに定期的にバックアップしておきます。バックアップの際は標準的な「3-2-1 バックアップ」のルールに従うことを推奨します。これは、3 つのデータコピーを作成し、2 つの異なるシステムを使用して、1 つをオフラインにする、というルールです。また、リストアを実行する能力をテストしてください。
- 攻撃者によるアクセスやセキュリティの無効化を防止します。多要素認証が有効になっているクラウドホスト型管理コンソールと、アクセス権の制限が可能なロールベースの管理機能を備えたソリューションを選択してください。
- 1 つの保護機能は、すべての状況に有効であるとはいえないため、厳重に対策を張り巡らせた多層防御型のセキュリティモデルが不可欠です。このセキュリティモデルをすべてのエンドポイントとサーバーに拡張し、セキュリティ関連データを共有できるようにしてください。
- 効果的なインシデント対応計画を策定し、必要に応じて更新します。脅威を監視したり、緊急インシデントに対応したりするのに十分なスキルやリソースがないと感じたら、外部の専門家のサポートを検討しましょう。
REvil ランサムウェアに関連するその他のアドバイスや技術情報は、「MTR の真価:250万ドルの身代金を狙うランサムウェア「REvil」との対決 (英語)」と「攻撃者ごとに使い方が異なる RaaS『REvil』」に掲載されています。
まとめ
サイバー攻撃への対処は、ストレスがたまるものです。脅威を消し去り、インシデントを終わりにしたいという気持ちはわかります。しかし、それでも攻撃をなかったことにはできません。充分な時間をかけて、攻撃者がどのように侵入したのかを探り出し、失敗から学んでセキュリティを強化することが重要です。さもないと、将来的にまた同じ攻撃者あるいは別の攻撃者から同じ攻撃を受け、二の舞となってしまう危険性があります。