This post is also available in: English (英語)

概要

Contiランサムウェアは私たちが追跡している数十のランサムウェアギャングの中でも際立って冷酷なランサムウェアの1つです。同グループはこれまで1年以上、ITの停止が人命に関わる事態を引き起こしうる組織(病院、警察への緊急通報を担う通信キャリア、救急医療サービス、法執行機関など)を攻撃してきました。アイルランドでは5月中旬に発生した攻撃により、国の医療システムのITネットワーク全体が停止に追い込まれました。これが原因で予約のキャンセル、X線装置の停止、新型コロナウイルスの検査遅延などが発生し、いまだ完全には復旧していません。

Contiはまたその不誠実さでも際立っています。データが復元できるものとして身代金を支払った被害者をそのまま突き放す事例がいくつも確認されています。

FBIは世界中の組織に対する400件以上のサイバー攻撃にContiが関与したことを明らかにしていますが、被害組織の4分の3は米国に拠点を置いており、その要求額は2,500万ドル(およそ27億6,800万円)におよびます。Contiは数ある攻撃グループのなかでもとりわけ欲深いグループの1つといえます。

侵害の懸念があり弊社にインシデントレスポンスに関するご相談をなさりたい場合は、infojapan@paloaltonetworks.com まで電子メールにてご連絡ください (ご相談は弊社製品のお客様には限定されません)。

Contiランサムウェアの概要

私たちは企業へのランサムウェア攻撃レスポンス支援を通じ、1年以上にわたってContiを追跡してきました。Contiは成長著しいRaaS(サービスとしてのランサムウェア)エコシステムを利用して事業を立ち上げた、数多ある民間サイバー犯罪グループの1つと考えられます。彼らギャングは、商品としてアクセスを販売しているほかの脅威アクターから標的ネットワークへのアクセスを買い、それを使ってネットワークの足掛かりを得ています。また、ほかのRaaSプロバイダからインフラやマルウェア、通信ツール、マネーロンダリングを調達することもあります。これら攻撃者の大半は、ランサムウェア攻撃でよく見かけるアクセス方法を使います。たとえばフィッシングメールやインターネットに公開されたセキュリティの甘いアプリケーションのエクスプロイト、多要素認証(MFA)の欠如などです。これにくわえて、アクセスの達成後はCobalt StrikeやPowerShellなどのアクセス維持強化によく使われている手法を用います。

これらのアプローチはとりたてて巧妙でも洗練されてもいませんが、多くのケースで効果があります。Contiはいま多くの主要ランサムウェアグループが使っている「二重恐喝」手法にならうことも多く、被害者のファイルを人質にとって身代金を要求するだけでなく、最初の身代金要求に応じなければファイルを窃取してWebサイトで公開する・漏えいさせると脅しもします。

ただしContiの取る手法にはほかのランサムウェアではあまり見かけない特徴もあります。

成功しているランサムウェアオペレータは通常、被害者が身代金の支払いを渋らないよう、ある種の「誠実さ」を保とうと努力するものです。「顧客サービス」や「身代金を支払うとファイルを復号できる(そしてリークサイトに掲載されない)」という約束を果たすことで、高い名声を確立したいと考えているからです。ところが私たちがこれまで攻撃を受けたお客様の事後対応支援をするなかで確認したところでは、Contiが潜在的被害者からの評判を気にする様子はありませんでした。

最近の事例だと、身代金を支払った被害者にファイルを返していませんでした。このお客様の場合、約束されたファイルのほんの一部しか復号してもらえないまま、Contiランサムウェアの連絡役がダークウェブへと消えてしまいました。また別のお客様の事例では、データ暗号化で影響を受けた当事者に通知を行うため「Contiがアクセスしたすべてのファイルのインベントリを教えてほしい」と要求したところ、「支払いが行われれば教える」と同意を得たにもかかわらず、その後「もうそのデータは持っていない」「すでに削除したので復元は不可能」と手のひらを返されてしまいました。多くのランサムウェアギャング同様、Contiも常に状況の変化に対応しています。こうした変化のなかには、最近のコロニアルパイプラインや医療機関への破壊的攻撃が注目を集めたことを受けて法執行機関や政策立案者による監視が強化されたことも含まれます。冒頭のアイルランドの医療機関が身代金の支払いを拒否したところ、Contiは同機関に無料の復号キーと称するものを提供しましたが、この話にはさらにひとひねりあり、窃取したデータをリークサイトに公開するという「二重恐喝」の実行主張を変えることはありませんでした。

結論

残念ながらContiをネットワークから排除するのは簡単なことではありません。その主な感染経路はフィッシング詐欺と思われ、この分野で常に腕をあげているようです。かつてのフィッシングメールは、とくに意識向上のためのトレーニングさえ受ければ、ほとんどの人が簡単に見分けられるものでした。ところが最近では、脅威アクターは被害者について事前に十分な下調べをしたうえで、きわめて巧妙な攻撃を仕掛けてくるようになっています。組織の全従業員に詐欺メールを一斉に送りつけることもあります。そのなかでたった一人、添付ファイルを開いてマルウェアをネットワークに放ってくれる人間がいればよいのです。

ランサムウェア攻撃の開始のは容易になる一方です。一方で攻撃者の報酬は飛躍的に増加しつづけています。したがって、ランサムウェア業界は今後も多くの新規参入を惹きつける成長産業であって、知名度の高いターゲットがこれから被害に遭う可能性は高いでしょう。

パロアルトネットワークスはContiランサムウェアを次の方法で検出/防止します。

  • WildFire: 既知のサンプルはすべてマルウェアとして識別されます。
  • Cortex XDR:
    • Contiランサムウェアのインジケータを含みます。
    • ランサムウェア対策モジュールでContiの暗号化の振る舞いを検出します。
    • ローカル分析・検出機能によりContiバイナリを検出します。
  • 次世代ファイアウォール: DNSシグネチャが既知のContiランサムウェアのコマンド&コントロール(C2)ドメインを検出し、Advanced URL Filteringで同ドメインをマルウェアとして分類します。
  • AutoFocus: 関連アクティビティをContiタグで追跡します。
  • Unit 42 セキュリティコンサルティング: Ransomware Readiness Assessmentは、隠れた脅威を検出し、組織の対応準備状況をテストし、修復のための推奨事項を提供します。

Contiに関連する指標は、こちらのGitHubから利用可能です。Unit 42のTAXIIフィードにも公開済みです。

行動方針

製品/サービス 行動方針
初期アクセス
以下の一連のアクションは、次のテクニックを緩和します。

  • Exploit Public-Facing Application [T1190](インターネットに公開されたアプリケーションの悪用 )
  • Spearphishing Attachment [T1566.001](添付ファイル型スピアフィッシング)
脅威防御 トラフィックを許可するすべてのセキュリティルールに安全な脆弱性防御プロファイルが適用されていることを確認します
脆弱性防御プロファイルが重大度「Critical(重大)」および「High(高)」の脆弱性に対する攻撃が「Block(ブロック)」に設定されていること、重大度「Medium(中)」、「Low(低)」、「Informational(情報)」の脆弱性が「Default(デフォルト)」に設定されていることを確認します
imap、pop3を除くすべてのデコーダでアンチウイルスプロファイルがブロックに設定されていることを確認します
関連するすべてのセキュリティポリシーに安全なアンチウイルスプロファイルが適用されていることを確認します
Wildfire WildFireのファイルブロックプロファイルのすべてのアプリケーションとファイルタイプについて、転送が有効になっていることを確認します
WildFireのファイルサイズのアップロード制限が最大化されていることを確認します
すべてのセキュリティポリシーでWildFire分析プロファイルが有効になっていることを確認します
復号したコンテンツのWildFireへの転送が有効になっていることを確認します
すべてのWildFireセッション情報設定が有効になっていることを確認します
WildFireによって検出された悪意のあるファイルに対するアラートが有効になっていることを確認します
「WildFireの更新スケジュール」が毎分ごとに更新をダウンロードしてインストールするように設定されていることを確認します
Cortex XSOAR XSOAR のプレイブックをデプロイ Cortex XDR – Isolate Endpoint
XSOAR プレイブックデプロイ - Endpoint Malware Investigation
XSOAR プレイブックデプロイ - Phishing Investigation - Generic V2
実行
以下の一連のアクションは、次のテクニックを緩和します。

  • Windows Command Shell [T1059.003](Windowsコマンドシェル)
  • Native API [T1106](ネイティブAPI)
Cortex XDR アンチエクスプロイトプロテクションを有効にします
アンチマルウェアプロテクションを有効にします
特権昇格、防御回避
以下の一連のアクションは、次のテクニックを緩和します。

  • Deobfuscate/Decode Files or Information [T1140](ファイルまたは情報の難読化解除/デコード)
  • Obfuscated Files or Information [T1027](難読化されたファイルまたは情報)
  • Dynamic-link Library Injection [T1055.001](ダイナミックリンクライブラリインジェクション)
Wildfire WildFireのファイルブロックプロファイルのすべてのアプリケーションとファイルタイプについて、転送が有効になっていることを確認します
WildFireによって検出された悪意のあるファイルに対するアラートが有効になっていることを確認します
復号したコンテンツのWildFireへの転送が有効になっていることを確認します
すべてのWildFireセッション情報設定が有効になっていることを確認します
すべてのセキュリティポリシーでWildFire分析プロファイルが有効になっていることを確認します
WildFireのファイルサイズのアップロード制限が最大化されていることを確認します
「WildFireの更新スケジュール」が毎分ごとに更新をダウンロードしてインストールするように設定されていることを確認します
Cortex XDR アンチマルウェアプロテクションを有効にします
アンチエクスプロイトプロテクションを有効にします
探索
以下の一連のアクションは、次のテクニックを緩和します。

  • File and Directory Discovery [T1083](ファイルとディレクトリの探索)
  • Network Share Discovery [T1135](ネットワーク共有の探索)
  • Process Discovery [T1057](プロセスの探索)
  • System Network Configuration Discovery [T1016](システムのネットワーク設定の探索)
  • System Network Connections Discovery [T1049](システムのネットワーク接続の探索)
Cortex XDR XDRで因果関係チェーンにしたがって行動イベントを監視、探索行動を識別する*
横展開
以下の一連のアクションは、次のテクニックを緩和します。

  • SMB/Windows Admin Shares [T1021.002](SMB/Windowsの管理者共有)
  • Taint Shared Content [T1080](共有コンテンツの改ざん)
脅威防御 関連するすべてのセキュリティポリシーに安全なアンチウイルスプロファイルが適用されていることを確認します
Cortex XDR アンチマルウェアプロテクションを有効にします
アンチエクスプロイトプロテクションを有効にします
影響
以下の一連のアクションは、次のテクニックを緩和します。

  • Data Encrypted for Impact [T1486](影響を与えるためのデータ暗号化)
  • Inhibit System Recovery [T1490](システムの復元禁止)
  • Service Stop [T1489](サービス停止)
Cortex XSOAR XSOARのプレイブックをデプロイ – Ransomware Manual for incident response
XSOARのプレイブックをデプロイ - Palo Alto Networks Endpoint Malware Investigation
Cortex XDR アンチマルウェアプロテクションを有効にします
アクティビティ検出のために次のBIOCアラートを探します*: Manipulation of Volume Shadow Copy configuration

表1 Contiランサムウェアの行動方針

†これらの機能は次世代ファイアウォールのサブスクリプションサービスの一部として提供されています

*これらの分析検出器は、Cortex XDR Proのお客様に対し自動的にトリガーされます

Enlarged Image