Contiランサムの被害が急増

FBI、CISA、NSAがContiの攻撃増加についてアラートを出しています。

www.bleepingcomputer.com

元ソース（CISA）

CISA、連邦捜査局（FBI）、および国家安全保障局（NSA）は本日、米国の組織を標的としたコンティランサムウェア攻撃の数が増加していることを警告しました。

米国の3つの連邦政府機関は、企業のIT管理者に、組織のネットワークセキュリティ体制を確認し、コンティランサムウェアから防御するための共同アドバイザリに概説されている即時アクションを実装するように求めています。

CISA、FBI、およびNSAが共有する緩和策には、オペレーティングシステムとソフトウェアを最新の状態に保つこと、多要素認証を要求すること、およびネットワークセグメンテーションを実装することが含まれます。

3つの機関によると、コンティランサムウェアのオペレーターは、米国および国際的なエンティティを攻撃する400を超える攻撃の背後にあります。

キタきつねの所感

ランサム攻撃者グループとして名が知れている所はREvilやLockbit2.0、RagnarLocker等々、ありますが、Contiは”現役”グループの中で、活動停止あるいはリブランドを経ずに活発に活動してる稀有な存在と言えるかも知れません。

DarkTracerが8月末に投稿した集計データでは、悪名名高き（大物狙いの）REvilや活動を既に停止したMazeなどを遥かに引き離す”485件の戦果”を挙げていると報じられており、リークサイトも１日に何件も被害組織が掲載される事もあります。

Who is the King of Ransomware on the DarkWeb?

3,006 victim organizations and 48 darkweb ransomware gangs. pic.twitter.com/bTCaeidgDT
— DarkTracer : DarkWeb Criminal Intelligence (@darktracer_int) August 31, 2021

直近のConti被害（リークサイトへの掲載）を少し数えてみたのですが、

　・9/22　4件

　・9/21　1件

　・9/20　1件

　・9/16　1件

　・9/11　1件

　・9/9　 12件

　・9/1　 3件

と、9月に入ってから23件の掲載が確認されます。今回の米国3組織（FBI、CISA、NSA)のContiに関する警告は直近の活発な活動を踏まえて出された様です。

CISAのアラートでは、MITRE ATT&CKを使って技術的要件の解説がされていますので、詳細（サイバーキルチェーン）は原文を参照頂ければと思いますが、初期侵入手法に関しては、

・スピアフィッシング（標的型メール）

悪意のあるWord添付ファイル（TrickBot、Cobalt Strike等の攻撃ツールダウンロードスクリプトを含む）

・窃取された、または脆弱なRDP資格情報

・Windowsプリントスプーラの脆弱性（＝PrintNightmare：CVE-2021-34527）

・ADコントローラの脆弱性（＝ゼロログオン：CVE-2020-1472）

辺りが（他にも偽広告＝水飲み場攻撃や、Zloader等のマルウェア配布も確認されている様ですが）よく使われている様です。

Contiランサム被害リスク軽減の緩和策についてCISAのアラートでは以下の点を挙げてています。

多要素認証を使用します。
・外部ソースからネットワークにリモートアクセスするには、多要素認証が必要です。
ネットワークセグメンテーションを実装し、トラフィックをフィルタリングします。
・ランサムウェアの拡散を減らすために、ネットワークと機能の間に堅牢なネットワークセグメンテーションを実装して保証します。ネットワーク間の規制されていない・通信を排除する非武装地帯を定義します。
・ネットワークトラフィックをフィルタリングして、既知の悪意のあるIPアドレスとの入力および出力通信を禁止します。
・強力なスパムフィルターを有効にして、フィッシングメールがエンドユーザーに届かないようにします。ユーザートレーニングプログラムを実装して、ユーザーが悪意のあるWebサイトにアクセスしたり、悪意のある添付ファイルを開いたりしないようにします。実行可能ファイルを含む電子メールをフィルタリングして、エンドユーザーに届かないようにします。
・URLブロックリストや許可リストを実装して、ユーザーが悪意のあるWebサイトにアクセスするのを防ぎます。
脆弱性をスキャンし、ソフトウェアを最新の状態に保ちます。
・最新のシグニチャを使用してネットワーク資産の定期的なスキャンを実行するようにウイルス対策/マルウェア対策プログラムを設定します。
・ネットワーク資産上のソフトウェアとオペレーティングシステム、アプリケーション、およびファームウェアをタイムリーにアップグレードします。一元化されたパッチ管理システムの使用を検討してください。
不要なアプリケーションを削除し、コントロールを適用します。
・日常業務に必要と思われないアプリケーションを削除します。コンティの脅威アクターは、リモート監視および管理ソフトウェアやリモートデスクトップソフトウェアアプリケーションなどの正当なアプリケーションを活用して、組織の企業の悪意のある悪用を支援します。
・許可されていないソフトウェア、特にリモートデスクトップまたはリモート監視および管理ソフトウェアを調査します。
・アプリケーションの許可リストを実装します。これにより、システムは、組織のセキュリティポリシーで認識され、許可されているプログラムのみを実行できます。ソフトウェア制限ポリシー（SRP）またはその他の制御を実装して、一般的なインターネットブラウザをサポートする一時フォルダや圧縮/解凍プログラムなど、一般的なランサムウェアの場所からプログラムが実行されないようにします。
・電子メールで送信されるMicrosoftOfficeファイルからマクロスクリプトを無効にすることにより、実行防止を実装します。完全なMicrosoftOfficeスイートアプリケーションの代わりに、OfficeViewerソフトウェアを使用して電子メールで送信されたMicrosoftOfficeファイルを開くことを検討してください。
・公的に利用可能なツールの悪意のある使用に対する検出と保護に関するガイダンスについては、CISAとオーストラリア、カナダ、ニュージーランド、および英国のサイバーセキュリティ当局によって開発された共同アラート「世界中のサイバーインシデントで見られる公的に利用可能なツール」を参照してください。
エンドポイントおよび検出応答ツールを実装します。
・エンドポイントおよび検出応答ツールは、エンドポイントのセキュリティステータスを高度に可視化し、悪意のあるサイバー攻撃者から効果的に保護するのに役立ちます。
特にRDPを制限することにより、ネットワークを介したリソースへのアクセスを制限します。
・リスクを評価した後、RDPが運用上必要であると見なされた場合は、発信元を制限し、多要素認証を要求します。
安全なユーザーアカウント。
・最小限の特権と職務の分離の原則の下で、管理ユーザーアカウントを定期的に監査し、アクセス制御を構成します。
・ログを定期的に監査して、新しいアカウントが正当なユーザーであることを確認します。

多要素認証や、ソフトやシステムの最新化、エンドポイント対策、特に危ないRDP接続のセキュリティ対策強化（多要素認証導入）など、丁寧に危ないポイントが指摘されていますが、ランサム又はセキュリティ対策としては一般的な内容です。

しかし、当たり前な事が出来ていない企業・組織が多いからこそ、ランサム被害（≒アラート）が出ていると思われますので、上記緩和策について改めて確認される事を強く推奨します。

余談です。幸いな事が1点。Contiは日本企業の名前をあまり「見かけた事がありません」。しかしこれは過去のデータであって、アフェリエイトまで含めた攻撃対象に日本企業（海外子会社・拠点）が入ってくる可能性は無い訳ではありませんのでご留意ください。

※過去1年間で私は1件（日本企業の海外子会社）しか掲載を確認した記憶がありません。

更に余談です。この緩和策の中で下記の「不要なアプリ」の記載が気になりました。

不要なアプリケーションを削除し、コントロールを適用します。
・日常業務に必要と思われないアプリケーションを削除します。コンティの脅威アクターは、リモート監視および管理ソフトウェアやリモートデスクトップソフトウェアアプリケーションなどの正当なアプリケーションを活用して、組織の企業の悪意のある悪用を支援します。
・許可されていないソフトウェア、特にリモートデスクトップまたはリモート監視および管理ソフトウェアを調査します。
・アプリケーションの許可リストを実装します。これにより、システムは、組織のセキュリティポリシーで認識され、許可されているプログラムのみを実行できます。ソフトウェア制限ポリシー（SRP）またはその他の制御を実装して、一般的なインターネットブラウザをサポートする一時フォルダや圧縮/解凍プログラムなど、一般的なランサムウェアの場所からプログラムが実行されないようにします。