2021年7月5〜12日に報告されたランサムウェアインシデントの概要

2021/07/13 セキュリティーニュース
logo

■Kaseya VSA(リモートIT管理 (RMM) ソリューション)に対する攻撃


先週発生したMSPプロバイダーのKaseya VSA(リモートIT管理 (RMM) ソリューション)に対するランサムウェアオペレーターREvilのサイバー攻撃が世間の注目を集めました。 一部の専門家によると、犯罪者は3つのゼロデイ脆弱性(認証バイパス脆弱性、任意のファイルアップロード脆弱性、およびコードインジェクション脆弱性)を組み合わせてKaseya VSAを攻撃しました。

同社のCEOであるFredVoccola氏によると、ランサムウェアの攻撃により、歯科医院、建築事務所、形成外科センター、図書館など、世界中の800から1,500の事業が停止しました。 スウェーデン最大のスーパーマーケットチェーンの1つであるCoopは、Kaseya VSAへのREvil攻撃により、全国で約800店舗を閉鎖することを余儀なくされました。 レジやセルフサービスステーションの機能が失われたため、店舗の従業員は支払いを処理できませんでした。

米国サイバーおよびインフラストラクチャセキュリティエージェンシー(CISA)と米国連邦捜査局(FBI)は、MSPプロバイダーのKaseya VSAに対するREvilランサムウェアオペレーターの攻撃の影響を受けた企業や組織向けのガイドを公開しています。 連邦政府機関は、Kaseyaが提供する検出ツールを使用して、コンピューターシステムに侵害の兆候がないかどうかを確認し、できるだけ多くのアカウントで多要素認証を有効にすることを推奨しています。

サイバー詐欺師は、Kaseyaとそのクライアントへの攻撃を中心に発展した危機的な状況を利用しています。 攻撃者は、KaseyaVSAのセキュリティアップデートを装ったCobaltStrikeペイロードを使用して、潜在的な被害者にスパムメールを送信します。 犯罪者は、ランサムウェアREvilのオペレーターによって悪用された、Kaseya VSAのゼロデイ脆弱性に対するMicrosoftからのパッチのように見える、悪意のある添付ファイルと埋め込みリンクを使用して、潜在的な被害者に電子メールを送信しています。 被害者が悪意のある添付ファイルを開くか、偽のパッチをダウンロードして実行すると、攻撃者は自分のコンピュータへの永続的なリモートアクセスを取得します。

MSPプロバイダーのKaseyaとそのクライアントに対するRansomwareREvilの攻撃は成功したはずですが、犯罪者の典型的な戦術と手順の変更により、身代金の支払いはごくわずかになりました。 その理由は、被害者のバックアップが削除されず、データが盗まれなかったためです。これにより、犯罪者は被害者を更に攻撃する可能性があります。 これはBleepingComputerによって報告されました。

■STOPランサムウェアの新しい亜種

 

PCriskエイリアスを使用しているサイバーセキュリティ研究者は、暗号化されたファイルに.zqqw、.zzla、および.pooe拡張子を追加するSTOPランサムウェアの新しい亜種を発見しました。

 ■アメリカ政府のランサムウェア攻撃に対する見解


ホワイトハウスのスポークスウーマン、ジェン・プサキ氏は、国家自体がサイバー攻撃とは何の関係もないとしても、ロシアはその領土でのハッカー活動を妨害する責任があると述べた。

「私は、ジョー・バイデン米大統領の見解と米国政権の見解は、米国と米国の民間部門に対するこれらの行動は、ロシア政府が関与していなくても、ロシアは、その領土でのハッカーの活動を妨害する責任があります」とプサキ氏は説明した。

 ■ランサムウェアContiの分析


Sentinel Labsのスペシャリストが、ランサムウェアContiの分析に関するレポートを公開しました。  Ransomware as a Service(RaaS)は、ハッカーの間で、自律的かつ制御された方法で、前例のない暗号化速度で実行できる柔軟で効果的なマルウェアとしての地位を確立しています。  2021年6月の時点で、Contiのパートナーは400を超える組織に数百万ドルを要求しています。

■投資銀行会社のMorganStanleyに対する攻撃

 

投資銀行会社のMorganStanleyは、AccellionFTAソリューションを使用したサードパーティベンダーを通じてクライアントの個人情報の一部が侵害されたと述べました。 盗まれたファイルは暗号化されていましたが、攻撃者は「AccellionFTAをハッキングすることで復号化キーを取得できました」。 盗まれたデータには、名前、住所、生年月日、社会保障番号、会社名が含まれていました。

 ■セキュリティ・オペレーション・センター(SOC)業務を担っているMandiant社の見解

 

Mandiantの上級副社長であるCharlesCarmakal氏は、情報セキュリティの専門家はランサムウェアオペレーターによる多数の攻撃に対処できないと述べました。 ランサムウェア攻撃は現在非常に多く、最近侵害されたすべての被害者がビジネスを回復できている訳ではなく、回復できていない企業もある事を報告しています。

■ランサムウェア支払いトラッカーであるRansomwarewhereというWebサイト立ち上げ

 

サイバーセキュリティ研究者のJackCable氏は、オープンソースのクラウドソーシングによるランサムウェア支払いトラッカーであるRansomwarewhereというWebサイトを立ち上げました。 このサービスを使用すると、ランサムウェアグループへの支払いに関するダウンロードデータを表示したり、犯罪者からの要求の受信を報告したりできます。

■新しいランサムウェアプログラムを発見

 

 サイバーセキュリティ研究者のMichaelGillespie氏は、暗号化されたファイルに.nohope拡張子を追加する新しいランサムウェアプログラムを発見しました。

 

■米国の大手保険会社であるCNAFinancial Corporationに対する2度目の攻撃

 

米国の大手保険会社であるCNAFinancial Corporationは、今年3月にシステムを攻撃したPhoenix CryptoLockerランサムウェア攻撃に続くデータ侵害について、顧客に通知しました。 事件は75,349人に影響を及ぼしました。 盗まれたデータには、名前や社会保障番号などの顧客の個人情報が含まれています。

 

記事提供元: http://www.securitylab.ru

翻訳: Kazunori Yoshida

■まとめ

MSPプロバイダーのKaseya VSAへの攻撃のように、サービスプロバイダーが攻撃を受けると攻撃が受けると小売店、図書館がサービスを提供できなくなる時代です。

セキュリティ・オペレーション・センター(SOC)業務を担っているMandiant社が報告しているように、ランサムウェアの件数が多すぎて、対応が追いついていない状況にまでなっています。サポート契約をしていない企業は、なおさら後回しになるでしょう。

一度攻撃のターゲットになると再度攻撃を受ける可能性が高いです。攻撃のターゲットにならないように、普段から脆弱性を怠らないようにしましょう。