Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

休日のサイバー攻撃が増加している

FBI/CISAがランサムに関する新しい注意喚起を出していました。

www.bleepingcomputer.com

FBIとCISAは、本日初めに発行された共同サイバーセキュリティアドバイザリで、週末や休日にランサムウェア攻撃に対する防御を緩めないように組織に促しました。

2つの連邦機関は、「米国では、休日と週末(通常はオフィスが閉鎖されている)に、最近では2021年の独立記念日までに発生する非常に影響力のあるランサムウェア攻撃の増加を観察した」と述べています。

週末に行われた有名な米国の実体への攻撃
FBIとCISAは、今後の休日と週末に発生する可能性のある攻撃に関する情報を持っていませんが、コロニアルパイプライン、JBS、およびカセヤのネットワークへの攻撃を例として挙げています。

世界最大の牛肉生産者であるJBSは、戦没者追悼記念日の週末の攻撃の後、REvilランサムウェアギャングに1,100万ドルの身代金を支払いました。

コロニアルパイプラインはまた 、母の日の週末の直前に攻撃された後 、DarkSideグループに440万ドルの身代金を支払いました(司法省は後にDarkSide暗号通貨ウォレットを押収し 、支払われた身代金のほとんどを回収しました)。

1か月後、大規模なREvilランサムウェア攻撃も 、7月4日の週末に数十のKaseyaの顧客と最大1,500の他の川下企業を襲いました。

 

元ソース(CISA)

Alert (AA21-243A) Ransomware Awareness for Holidays and Weekends

 

キタきつねの所感

既に(一旦は)オフラインになったランサム脅威アクターによるランサム被害も含まれていそうですが、攻撃の傾向という意味では人手を介したランサム攻撃(Human-operated ransomware attacks)が、重要インフラや大手企業を狙う際には、同様なIT部門(防衛側)が手薄な週末や休日を狙う部分では、今後も同様な点に警戒が必要かと思います。

 

米国では独立記念日、日本だと東京オリンピックパラリンピックといったイベントも警戒が必要と言われています。日本の場合はお盆休みも終わり、次のタイミングで考えるとシルバーウィーク辺りが警戒ポイントと言えますが、これ以外にも近隣諸国の記念日・祝日といった要素も影響する場合もある事にも留意が必要かも知れません。

 

Lockbit2.0も入っていますので、直近活発なランサムオペレータの攻撃動向を(網羅して)分析をしている様です。

この中で注目すべきなのが、侵入経路かと思います。フッシングは以前からの攻撃ルートですが、まだまだ警戒すべき攻撃手法の様です。また、テレワークやリモートメンテナンスの弱点と言っても過言ではない、パッチ当て不備と認証情報の使い回しが、繰り返し最近言われている事ではありますが、指摘されています。

本日発行された共同アドバイザリによると、先月最も頻繁に報告されたFBIへの攻撃の背後には、Conti、PYSA、LockBit、RansomEXX / Defray777、Zeppelin、Crysis / Dharma / Phobosランサムウェアギャングがいます。

「サイバー犯罪者はさまざまな手法を使用して被害者をランサムウェアに感染させますが、最も一般的な2つの初期アクセスベクトルは、フィッシングブルートフォース攻撃によるセキュリティで保護されていないリモートデスクトッププロトコル(RDP)エンドポイントです」と当局は述べています。

 

これらのランサム脅威に対して、FBI/CISAがまず言っているのが以下の点です。バラバラにリスト化されている様にも見えますが、私は「優先順」で書かれている気がします。

f:id:foxcafelate:20210901103623p:plain

  

「オフライン」バックアップが最優先、ランサム(サイバー)攻撃者は「オンラインバックアップ」を最初に狙ってくる、この脅威が上がっていると私はこのリストを解釈しました。

2・5番目がユーザー啓蒙、3・4番目がRDPの監視(※EDR等の対象とすべきと読み替えても良いかも知れません)とRDP機器を含む最新化、6番目が昨日も記事を書きましたが、1要素認証が狙われているという点への強化策です。

 

セキュリティの担当の方から見ると、”当たり前”と思われる点が強調されている様にも思えるかと思いますが、その「失敗が多い」からこそ、FBI/CISAが注意喚起を出しているという事を考えて、現在考えているよりも更に踏み込んで考える方が良いのかと思います。

 

参考まで、注意喚起に書かれているランサム攻撃の挙動検知に関しては、以下の通りです。EDR等を使っている場合、以下の観点で監視を強めると良いかと思います。

脅威ハンターが探す必要のある疑わしい活動の指標は次のとおりです。

・異常なインバウンドおよびアウトバウンドネットワークトラフィック
・管理者権限の侵害またはアカウントの権限のエスカレーション
・ログインとパスワードの資格情報の盗難
・データベースの読み取り量が大幅に増加
・アクセスとログインパターンの地理的な不規則性
・異常なログオン時間中にユーザーアクティビティを試行

Webサーバーのページ内のHTMLにリンクされていないサーバー上のフォルダーにアクセス
・高度な持続的脅威アクターが頻繁に侵入を暗号化するため、アウトバウンド暗号化トラフィックのタイプのベースライン偏差。

 

もう1つ、前述した推奨緩和策についての機械翻訳文を参考まで貼っておきます。

データのオフラインバックアップを作成します。
・データのオフラインの暗号化されたバックアップを作成および維持し、バックアップを定期的にテストします。バックアップ手順は定期的に実行する必要があります。多くのランサムウェアの亜種がアクセス可能なバックアップを見つけて削除または暗号化しようとするため、バックアップをオフラインに維持することが重要です。
・週末または休日にバックアッププロセスが中断する可能性があるリスクを考慮して、組織のバックアップスケジュールを確認してください。

 

疑わしいリンクをクリックしないでください。
・ユーザートレーニングプログラムとフィッシング演習を実装して、悪意のあるWebサイトにアクセスしたり、悪意のある添付ファイルを開いたりすることに伴うリスクについてユーザーの意識を高め、フィッシングやスピアフィッシングの電子メールに対する適切なユーザーの応答を強化します。

 

RDP(またはその他の潜在的に危険なサービス)を使用する場合は、セキュリティで保護して監視します。
・特にRDPを制限し、仮想デスクトップインフラストラクチャを使用することにより、内部ネットワークを介したリソースへのアクセスを制限します。リスクを評価した後、RDPが運用上必要であると見なされた場合は、発信元を制限し、MFAを要求します。RDPを外部で利用できるようにする必要がある場合は、VPNを介して認証する必要があります。
・リモートアクセス/ RDPログを監視し、指定された回数の試行後にアカウントロックアウトを実施し、RDPログイン試行をログに記録し、未使用のリモートアクセス/ RDPポートを無効にします。
・デバイスが適切に構成され、セキュリティ機能が有効になっていることを確認します。ビジネス目的で使用されていないポートとプロトコル(RDP伝送制御プロトコルポート3389など)を無効にします。
・サーバーメッセージブロック(SMB)プロトコルのアウトバウンドを無効またはブロックし、古いバージョンのSMBを削除または無効にします。攻撃者はSMBを使用して、組織全体にマルウェアを伝播します。
サードパーティベンダーおよび組織と相互接続されているベンダーのセキュリティ体制を確認します。サードパーティベンダーと外部のソフトウェアまたはハードウェアとの間のすべての接続が監視され、疑わしいアクティビティがないか確認されていることを確認します。
・確立されたセキュリティポリシーの下で、システムが既知の許可されたプログラムのみを実行できるようにする、アプリケーションとリモートアクセスのリストポリシーを実装します。
・保護された表示モードでドキュメントリーダーを開き、アクティブコンテンツが実行されないようにします。

 

OSとソフトウェアを更新します。脆弱性をスキャンします。
・ベンダーによってサポートされなくなったソフトウェアとオペレーティングシステムを、現在サポートされているバージョンにアップグレードします。ソフトウェアに定期的にパッチを適用し、利用可能な最新バージョンに更新します。既知の脆弱性については、インターネットに接続されたサーバーのタイムリーなパッチ適用、およびWebブラウザー、ブラウザープラグイン、ドキュメントリーダーなどのインターネットデータを処理するソフトウェアに優先順位を付けます。一元化されたパッチ管理システムの使用を検討してください。リスクベースの評価戦略を使用して、パッチ管理プログラムに参加する必要があるネットワーク資産とゾーンを決定します。
ウイルス対策およびマルウェア対策ソリューションを自動的に更新し、定期的にウイルスおよびマルウェアのスキャンを実行します。
・定期的な脆弱性スキャンを実行して、脆弱性、特にインターネットに接続されたデバイス脆弱性を特定して対処します。(CISAの無料サービスの詳細については、上記のサイバー衛生サービスのセクションを参照してください。)

 

強力なパスワードを使用してください。
・強力なパスワードとチャレンジレスポンスを確保します。パスワードを複数のアカウントで再利用したり、攻撃者がアクセスできるシステムに保存したりしないでください。

 

多要素認証を使用します。
・すべてのサービス、特にリモートアクセス、仮想プライベートネットワーク、および重要なシステムにアクセスするアカウントに対して、可能な限り多要素認証(MFA)を要求します。

 

ネットワークを保護します。セグメンテーションの実装、トラフィックのフィルタリング、ポートのスキャンを行います。
・最も重要な通信が最も安全で信頼性の高い層で行われるように、複数の層でネットワークセグメンテーションを実装します。
・ネットワークトラフィックをフィルタリングして、既知の悪意のあるIPアドレスと入力および出力通信を禁止します。URLブロックリストや許可リストを実装して、ユーザーが悪意のあるWebサイトにアクセスするのを防ぎます。
・ネットワークをスキャンして開いているポートとリスニングポートを探し、不要なポートを閉じます。
・従業員がリモートで作業している企業の場合、サイバー攻撃を防ぐために、コンピューティング、エンターテインメント、モノのインターネットデバイスなどの安全なホームネットワーク。別々の活動に別々のデバイスを使用する。自宅と職場のコンテンツを交換しないでください。


ユーザーアカウントを保護します。
・最小限の特権と職務の分離の原則の下で、管理ユーザーアカウントを定期的に監査し、アクセス制御を構成します。
・ログを定期的に監査して、新しいアカウントが正当なユーザーであることを確認します。

 

インシデント対応計画を立てます。
・次のような基本的なサイバーインシデント対応計画を作成、維持、実行します。
ランサムウェアインシデントでの対応と通知の手順が含まれ、重要なシステムに一定期間アクセスできない可能性を計画します。

 

 

本日もご来訪ありがとうございました。

Thank you for your visit. Let me know your thoughts in the comments.

 

 ごろごろしているおじさんのイラスト

 

更新履歴

  • 2021年9月1日 AM