新型ランサムウェアは「人手によるランサムウェア攻撃」(human-operated ransomware attacks)や「二重の脅迫」(double extortion)などと呼ばれることもあります。(*1)今回は弊社で実際に対応した事案を元に紹介をします。
暴露型ランサムウェア
お客様からの第一報は以下のようなものでした。
「深夜、ファイルサーバの一部がランサムウェアによって暗号化された。現在復旧作業中であるが、フォレンジックを行ってほしい」
更にヒアリングをしていくと、「同時間帯にActive Directoryに障害が発生し停止したが、バックアップイメージから障害発生以前の状態に復元済である」という情報も得ました。
弊社は別件で対応した事案の経験から、暴露型ランサムウェアの可能性を疑い、ファイルサーバに残っていたランサムノート(脅迫文)を入手し、内容の確認をしたところ、Sodinokibiと呼ばれる「暴露型ランサムウェア」の一種であることを特定しました。
そのため、事案を「ランサムウェアによる被害調査」ではなく、「標的型攻撃による情報漏洩の調査と再発防止」に切り替え、攻撃者の侵入経路、原因と事象の再発を考慮したActive DirectoryイベントログとVPNログ、Proxyログ等のセキュリティ製品以外のログ調査を実施しました。
(図2)暴露型ランサムウェアによる攻撃の状況整理 [画像クリックで拡大]
その結果、 SSL VPN製品の脆弱性が原因で発生した事案であることが判明しました。これは、2020年3月26日にJPCERTから出された「複数の SSL VPN 製品の脆弱性に関する注意喚起」(*2)にも記載されています。
テレワークが開始され、緊急導入したSSL VPN装置に脆弱性パッチが適用されておらず、メモリ上の認証情報が平文で保存され、侵入されると外部から丸見えというものです。さらにSSL VPNの認証にActive Directoryを利用していたために、社外からActive DirectoryのメンテナンスのためSSL VPN経由でアクセスした管理者の認証情報が、SSL VPNのメモリ上から平文で攻撃者に読み取れてしまいました。その結果、攻撃者がActive Directoryの管理者権限を盗み出し、Active Directoryを乗っ取ることで被害企業のネットワークをコントロール下に置いていたのです。
その後の調査において、在宅勤務をしているはずのユーザのアカウントが海外からActive Directoryにログインをしている怪しい形跡があり、さらにSSL VPNの外側に不審なサーバが立てられ、そのサーバに対して被害企業の社内からSSL VPNを経由してデータがアップロードされていることが判明しました。別のケースではEMOTETによって感染した管理者端末経由でActive Directoryを乗っ取る事案も確認されています。
(図3)VPN装置の脆弱性を突いた暴露型ランサムウェアによる攻撃の推移 [画像クリックで拡大]
(図4)メール添付ファイルからのマルウェア感染による攻撃 [画像クリックで拡大]
調査の結果、幸いこの事案では大量の情報流出は確認されませんでした。しかしながら、他の事案においては機密情報を含む大量の情報が窃取され、ダークウェブに情報がアップロードされ、公開を止める代わりに身代金の支払いが要求されるケースが多く見られます。
情報が暴露されるため、従来のランサムウェアと区別するために弊社ではこれらを「暴露型ランサムウェア」と呼んでいます。以下は実際にダークウェブで暴露されたある企業の情報となります。
(図5)暴露型ランサムウェアによって窃取された情報はダークウェブで公開 [画像クリックで拡大]
身代金要求額も数十万ドル(数千万円)となっており、従来のランサムウェアに比べると桁違いなものとなっています。また、ランサムウェアが目立つので、ご紹介した事案のように被害企業はランサムウェアによる暗号化からの復旧を前提に作業を開始してしまい、調査をする段階においてログなどの必要情報が上書きされてしまい残っていないケースが散見されます。
また、直近ではSunCryptランサムウェアの攻撃者は、被害企業との身代金交渉が決裂するとDDoSによる攻撃を行うことも確認されました。(*5)攻撃の方法や身代金窃取の方法も高度化・多様化していることがわかります。
