DarkSideによるランサムウェア攻撃を暴く

記事をシェアする:

サイバーセキュリティーの専門家が、国家レベルあるいは金銭目的のサイバー・キネティック攻撃に関する警告を発してから10年以上が経ちました。物理的な資産や人々の生活を損ないかねないサイバーセキュリティーの脅威を懸念して、多くの専門家がオペレーショナル・テクノロジー (OT)・ネットワークの侵害につながる脆弱性を追跡し、各業界の組織に警鐘を鳴らしてきました。

この分野では、国家間の対立により世界規模で開始された攻撃から、明らかに素人による腕試しまで、さまざまな種類の攻撃が何年にもわたり行われています。 最近では、サイバー犯罪者集団が米大手の石油精製品パイプライン・システムを標的としたランサムウェア攻撃を行い、パイプラインの操業を停止に追い込んだことが、世界中で大きく報道されました。この攻撃は、ITネットワークにのみ影響を与えたと報道されていますが、運用ゾーンや上流のサプライチェーン全体に広がるおそれもありました。つまり、さらに大きな被害を与える攻撃シナリオが仕掛けられた可能性もあったのです。

敵対国家とつながりのある、産業界の組織を対象とした攻撃とは異なり、このパイプラインへの攻撃は、巨額の金銭の獲得を動機としたサイバー犯罪事件であったと考えられます。この攻撃への関与が疑われるのが「DarkSide」と呼ばれるハッカー集団です。

IBM Security X-Forceの分析によると、2020年にX-Forceが対応した攻撃手法の第1位となったのはランサムウェアであり、実際に組織に影響を及ぼした全攻撃の23%を占めていました。また、インシデント対応チームのデータによれば、ランサムウェア攻撃が「二重恐喝」の戦術を使用した割合は、59%に達していました。被害を受けた企業は、データを暗号化された上に、指定期限までに復号鍵と引き換えの支払いに応じなければデータを漏えいさせると脅されていました。

X-Forceインシデント対応チームのデータはさらに、2020年に最も頻繁に発生したOTへの脅威はランサムウェア攻撃であったことも示しています。このデータで調査した部門には、製造、石油・ガス、運輸、電力、建設、鉱業などが含まれています。これらの部門では、IBMが対応した攻撃全体の33%をランサムウェア攻撃が占めていました。この傾向は、脅威アクターがランサムウェア攻撃を仕掛ける上で、OTネットワークを備えた組織に特に魅力を感じていることを示唆しています。これは、コストのかかるダウンタイムや、より広範なエコシステムや個々の消費者への影響が大きいためだと考えられます。

DarkSide 背後にいるのは誰なのか?

2020 年 8 月、新たなランサムウェア犯罪組織が、サイバー犯罪への参入を表明しました。この犯罪者集団は、過去に使用した他のコードでは目的を達成できないため、完璧なランサムウェア・ツールを開発したと「プレス・リリース」のような形で声明を発表しました。この声明は、グループのTORドメインに投稿されていましたが、この新規参入者は、自分たちが経験の浅いサイバー犯罪者集団ではないこと、そして過去には金銭的に大きな成功を収めた他の犯罪者集団の関係者として活動し、その過程で数百万ドルの利益を稼いでいたことを明らかにしています。このマルウェア自体には、身代金の要求文のテンプレートのように、GandCrabやSodinokibi (英語)ランサムウェアと多少の類似点があります。その他の類似点としては、旧ソビエト連邦の各言語にシリア・アラビア語を加えた17の言語の言語レイアウトに一致しているコンピューターを避けるようにDarkSideが設計されていることが挙げられます。これは、Sodinokibiと類似しています。さらに、彼らの仲間となるアフィリエイトの募集では、ロシア語を話せるテクノロジーに精通した人材が求められています。彼らはさらに、「英語を話せる人材」には関心がないということを強調しています。DarkSideはまた、標的とする組織を決める場合は「支払い能力のある」組織を狙い、医療機関、学校、非営利団体、官公庁は狙わないと述べています。

新しいグループ、古いTTP（戦術、技術、手順）

最新のランサムウェア・コードを操るSodinokibi (英語)やMazeのような他の犯罪組織と同様に、DarkSideはデータの暗号化とロック、そしてデータ漏えいを組み合わせて恐喝してきます。被害を受けた企業が最初に復号鍵と引き換えの支払いに応じないと、攻撃者は盗んだ機密データを公開し、「DarkSide Leaks」という専用のWebサイトに6カ月間以上掲載すると脅迫します。暗号化されたネットワーク上のデバイスに身代金の要求文が表示され、その要求文には、身代金を支払わなければ、「Your personal leak page（貴社専用の漏えいページ）」と呼ばれるページにデータをアップロードするという脅迫文と、そのページのTORのURL が記載されています。身代金は、ビットコインやモネロで要求されます。指定された最初の期限までに支払われない場合、金額は2倍になります。

 

図1：「Welcome to the Dark（暗闇へようこそ）」身代金の要求文

 

よく利用される侵入口は、通常TORブラウザーを介したポート443でのRDP経由の接続のようです。これは、組織のネットワークに対する類似の攻撃でX-Forceが確認していた傾向 (英語)と一致しています。こうした攻撃では、攻撃者は不正に入手した資格情報を使用するのではなく、標的のスキャンとエクスプロイトを選択しています。

MimikatzとCobalt Strikeは、DarkSideの攻撃者が利用する武器の一部です。ポスト・エクスプロイトで使用されるCobalt Strikeステージャーは、感染したデバイスを攻撃者が制御する際に威力を発揮します。「ステージャー」とは、より大きなビーコン・ペイロードをダウンロードして、それに制御を渡す小さなプログラムのことです。
攻撃のさまざまな要素は通常、よく知られている広範な環境寄生型戦術を使用して手動で実行されます。安全性の低いサーバーや、監視されていないサーバーがある場合、攻撃者はたやすく自身の能力を拡張してデータの収集や水平移動ができます。Windows Active Directoryツールが悪用され、すべてのADデータが攻撃者に漏えいされてしまう恐れのあるDCSync攻撃や、それに続くゴールデン・チケット攻撃につながるケースもあります。

DarkSideのさまざまな攻撃において、EDRソリューションがインストールされているシステムは攻撃を回避されていました。

必要なのはスピード—DarkSide v2.0

ほとんどのランサムウェア攻撃者は、できるだけ多くのデータを、できるだけ早く暗号化する必要があることを認識しています。そのため、攻撃者は最初のフェーズで対称暗号化を使用し、次に非対称鍵を使用して最初の鍵を暗号化する方法を採っています。 DarkSideのケースでは、実行を高速化する方法を見つけ出したと主張しています。そのマルウェアは、被害に遭った企業のデータをSalsa20ストリーム暗号を使用して暗号化します。攻撃者は80バイトのRSA-1024公開鍵をマルウェアの実行可能ファイルに組み込み、それを使用してSalsa20のマトリックスを暗号化します。適宜実行されれば、この鍵を破るのは不可能であり、被害を受けた企業は、データを運用可能な状態に戻す他の方策を見つけなければなりません。

興味深いことに、DarkSideは、被害を受けた企業に対して復号の約束を守ることを保証するために、「史上最速の復号スピード」を提供できると喧伝しています。

マルウェアはWindowsとLinuxの両方の環境への攻撃が可能であり、エンタープライズ・サーバーを従業員のエンドポイントと同程度に「暗号化可能」なものにします。DarkSideは仮想マシーンを攻撃して、それらのハード・ディスク上のデータを暗号化することもできます。

DarkSideの攻撃者が時間をかけるのは、攻撃の第一段階です。彼らは、最終的に被害者の企業に対する影響力を最大限発揮するという別の目標を達成するまで、暗号化プロセスを開始しません。これには、ネットワークやバックアップのマップ、彼らが操作できるユーザー・アクセスのセットアップ、支払いに応じない場合に後で漏えいさせるデータの盗難などが含まれます。

自ら認めた金銭目的の攻撃

この10年間で、ランサムウェアは「厄介なもの」から「最も差し迫ったリスク」の1つへと進化しました。このリスクは、CISOやセキュリティー・リーダーが関わる事業領域にかかわらず憂慮すべきものです。インシデント対応の計画と能力に対する緊急のニーズは急速に高まっており、サイバー攻撃のリスク、影響、長期的な災厄を軽減するために不可欠であることが証明されています。

こうした事態が進む中、サイバー攻撃者による身代金の要求で示される特徴は、「停止」、「恐喝」、場合によっては「破壊 (英語)」です。ランサムウェア攻撃は、業界のリーダーや政府の関係者によって非難され、警告されています。元CISA長官のChris Krebs氏は米国議会で演説する際に、猛威を振るうランサムウェア攻撃について、「私たちは欲に駆られて引き起こされる世界規模のデジタル・パンデミックの最前線に立っている。」と述べました。

DarkSideは動機について尋ねられた際、目的は金銭を得ることであるとソーシャル・メディアで回答しました。

「我々は政治に関心を持っておらず、地政的国策にも関与していない。我々と特定の政府を結び付けて、他の動機を探る必要はない。

我々の目的は『金銭を得ること』であり、社会に問題を引き起こすことではない。

われわれは本日より事前検証制度を導入し、パートナーがデータを暗号化しようとしている各企業をチェックし、今後は社会に重大な影響が及ばないようにする」

 

図2：出典：DarkTrace

 

世界各地におけるランサムウェアによる被害の増加は、各国政府にとって極めて重大な問題となっています。です。専門家によると、この攻撃が広がり続けていることで、2021年5月10日以降、米国における燃料価格が2%から3%上昇する可能性があり、パイプラインがオフラインになっている限り、その影響は拡大し続けるということです。政府が発表した緊急の免除措置により、パイプラインの操業が復旧するまで、陸上輸送による燃料製品の一時的な搬送が可能になりました。

ゼロトラスト・アプローチを採用したリスクの低減

ゼロトラストとは、「複雑なネットワークのセキュリティーは常に内外の脅威にさらされている」と想定したフレームワークです。ゼロトラストは、そうした脅威に対抗するための徹底的なアプローチを準備し、戦略化するのに役立ちます。

すべての接続とエンドポイントが脅威と見なされると想定することで、ゼロトラスト・アプローチは、外部か内部かにかかわらず、既に内部にある接続であっても、こうした脅威からの保護を行うフレームワークに依拠します。一言で言うと、ゼロトラスト・ネットワークは、以下のことを行います。

• すべての企業ネットワーク・トラフィックの記録と検査
• ネットワークへのアクセスの制限と制御
• ネットワーク・リソースの検証と保護

拡張を考慮して、ゼロトラスト・セキュリティー・モデルは、デフォルトでデータやリソースにアクセスできないように作られています。ユーザーは、適切な条件下でのみ限定的にデータやリソースにアクセスできます。これは、最小特権アクセスと呼ばれています。ゼロトラスト・セキュリティー・モデルは、ユーザーがアプリケーションやソフトウェアにアクセスする場合や、アプリケーション・プログラミング・インターフェース（API）を介してデータ・セットにアクセスする場合など、すべての接続を検証し、許可します。この場合、インタラクションが組織のセキュリティー・ポリシーの条件規定を満たしている必要があります。ゼロトラスト・セキュリティー戦略はさらに、できるだけ多くのデータ・ソースのコンテキストを使用し、動的なポリシーに基づいてあらゆるデバイス、ネットワーク・フロー、接続を認証し、許可します。IBM Securityのゼロトラスト・アプローチの詳細をご確認ください。

X-Forceは、増加するランサムウェア攻撃を警戒して、ネットワーク・セグメンテーションを実装し、重要なパッチを適用してリスクを削減するとともに、オフライン・バックアップの体制を整えるよう企業にアドバイスしています。企業はさらに、攻撃者のシミュレーションやレッドチーム演習によって、検知機能をテストする必要があります。また、インシデント対応計画のリハーサルとテストを実施してギャップを特定し、攻撃を受けた場合にその広がりを抑えられるようにする必要もあります。詳細は、米国のパイプラインへのランサムウェア攻撃：IoC、攻撃パス、防御に関するWebセミナーをご視聴ください。さらに、IBMランサムウェア対応ガイド (英語)もダウンロードのうえ、ご活用ください。今回の状況に関する最新情報については、X-Force Exchangeをご確認ください。

今すぐにインシデント対応の支援が必要な場合は、IBM Security X-Forceの米国ホットライン（1-888-241-9812）、またはグローバル・ホットライン（(+001) 312-212-8034）にお問い合わせください。

当ブログは、「Shedding Light on the DarkSide Ransomware Attack」(英語)を抄訳、一部更新したものです。

 

【関連情報】

IBM X-Force インシデント対応 & 脅威インテリジェンス・サービスの概要はこちら

IBM Security のゼロトラスト・アプローチの発表ブログはこちら

【お問い合わせ】

IBM Securityへのお問い合わせはこちらから

【著者情報】