マカフィーのAdvanced Threat Research(ATR)チームは、RaaS(Ransomware as a Service)グループであるRyuk(リューク)の戦略的運用に関する新たな調査結果を発表した。
Ryukは、ファイルを暗号化するために対称AES(256ビット)暗号化と非対称RSA(2048ビットまたは4096ビット)暗号化の組み合わせを利用。対称鍵はファイルの内容を暗号化するために使用され、非対称公開鍵は対称鍵を暗号化するために使用されるという。身代金を支払うと、対応する非対称秘密鍵が解放され、暗号化されたファイルを復号化できるとしている。
カバレッジと保護に関するアドバイス
セキュリティ担当者は、winPEAS、Lazagne、Bloodhound、Sharp Hound。または、Cobalt Strike、Metasploit、Empire、Covenantなどのハッキングフレームワーク、およびデュアルユースの悪意のないツールの異常動作など、オープンソースのペネトレーションテストツールに関連する痕跡や行動に注意を払う必要があるという。
さらに、他の同様のRansomware-as-a-Serviceファミリーも含め見ていくと、特定の最初の経路がランサムウェアを利用する攻撃者の間で一般的であることがわかったとしている。
- E-mail Spear phishing(T1566.001)は、最初の足掛かりを直接獲得または獲得するために使用されている。最初のフィッシングメールは、攻撃者が被害者のネットワークを侵害し続けるためのローダーおよびエントリポイントとして機能する別のマルウェアにリンクすることもできるという。これは、Trickbot&RyukやQakbot&Prolockなどで過去に観察されたとしている。
- Exploit Public-Facing Application(T1190、外部公開されたアプリケーションへの攻撃)は、サイバー犯罪者はセキュリティニュースの熱心な読者であり、常に優れたエクスプロイトを探していることを考えると、もう一つの一般的な最初の経路になるという。したがって、パッチの適用に関しては、迅速に行うことを勧めるという。
- Valid Accounts(T1078、正当なアカウント)を使用することは、サイバー犯罪者が足場を築くための実証済みの方法であり、保護対策が弱いRDPアクセスは代表的な例だとしている
- Valid Accountsは、被害者のコンピューターから資格情報を盗むように設計されたInfostealerなどのコモディティマルウェアを介して取得できるという。ランサムウェアの犯罪者は、何千もの資格情報を含むInfostealerログを購入して、VPNや企業のログインを検索。組織にとって、ユーザーアカウントに堅牢な資格情報管理とMFAを設定することが必要だという
加えて、実際のランサムウェアバイナリに関しては、エンドポイント保護を更新およびアップグレードし、改ざん防止やロールバックなどのオプションを有効にすることを勧めるという。
【関連記事】
・新たな手口による請求詐欺も復活【マカフィー モバイル脅威レポート 2021】
・マカフィー、「MVISION CNAPP」の一般提供を開始
・米国でも3人に2人が脅威を懸念【マカフィー 消費者のセキュリティ調査】
