米パイプライン企業へのランサムウェア攻撃に関与した攻撃グループ「DarkSide」の概要

By

Category: Unit 42

Tags: , , ,

A conceptual image representing ransomware, such as the DarkSide ransomware discussed in this post.

This post is also available in: English (英語)

概要

米国の大手パイプライン会社が攻撃を受け、米国の大部分の地域でガソリンやジェット燃料の供給に支障が出る可能性が出てきたことで、ランサムウェア攻撃者は自治体や学区、病院を震撼させただけでは飽き足りないのだということを世界に知らしめました。

FBIが大々的に報じられた攻撃への関与を認めたことにより、DarkSideは、世界で最も有名なハッキンググループのひとつとなりました。地球の裏側にいる謎の攻撃グループがわずかなキー操作でアメリカ東海岸の燃料供給を脅かすことができるとなれば注目も集まります。

今回の攻撃のインパクトは、ランサムウェアを運用する側がつねに前進しつづけており、改良や自動化を進めてより大きな組織を標的としてより効果的になっているという事実を反映したものとなっています。彼らはその努力に見合う金銭も得ています。 Unit 42 ランサムウェア脅威レポート 2021によれば、2020年に支払われたサイバー身代金の平均額は、2019年比で2倍以上の31万2,493ドルに達しています。2021年はこれまでのところ平均支払額が前年比約3倍の約85万ドルとなっています。

私たちがDarkSideの活動開始を確認したのはおよそ1年前でしたが、この攻撃グループはこの短期間にビジネスモデル最適化につねに注力することで、平均の増額につとめてきました。他の主要ランサムウェアギャング同様、DarkSideも最近はRaaS(Ransomware-as-a-Service)モデルを採用しています。彼らはコード開発やインフラ、オペレーションを外部委託し、新規スタッフ募集にはダークウェブを利用しました。この結果、被害者についての知識を得ることや各組織で最も価値のあるデータを狙うことに集中できるようになり、可能な限り大きな身代金を引き出して犯罪ビジネスの投資収益率を高められるようになりました。

このグループは2020年10月頃からUnit 42のインシデントレスポンス担当者の注目を集めはじめました。その後、多くのインシデントでその痕跡が発見されています。DarkSideが際立っているのは、このグループが従来は国家レベルのアクターにしか見られなかった規律を見せている点です。この脅威のアクターはいったん侵入すれば徹底的な調査を行います。DarkSideはロシア内でオペレーションを展開する犯罪ネットワークである可能性が高いと指摘されていますが、同グループをロシア政府と直接結びつけたリサーチャーはまだ存在していません。

興味深いことに、2020年11月、あるランサムウェアの交渉会社はDarkSideがイランでインフラをホストするという計画を発表したことを受けて同脅威を社内の制限リストに載せています。イランが米国の制裁対象なため、イランに対する身代金支払い支援は法に抵触するおそれがあるためです。

その所在地はさておき、DarkSideの攻撃者たちはランサムウェア攻撃において豊かな経験と実績を持つことが示唆されています。彼らは明らかにランサムウェアエコシステムのハイエンド側で活動しており、高額身代金を引き出せる少数の被害者に焦点を当てています。

パロアルトネットワークス製品をご利用中のお客様は同脅威から保護されています。

  • WildFire: 既知のサンプルはすべてマルウェアとして識別されます。
  • Cortex XDR:
    • DarkSideのインジケータを含みます。
    • ランサムウェア対策モジュールでDarkSideの暗号化の振る舞いを検出します。
    • ローカル分析・検出機能によりDarkSideバイナリを検出します。
  • 次世代ファイアウォール: DNSシグネチャが既知のコマンド&コントロール(C2)ドメインを検出し、URLフィルタリングで同ドメインをマルウェアとして分類します。
  • AutoFocus: 関連アクティビティをDarkSideタグで追跡します。

侵害の懸念があり弊社にインシデントレスポンスに関するご相談をされたい場合は、infojapan@paloaltonetworks.com まで電子メールにてご連絡ください (ご相談は弊社製品のお客様には限定されません)。

プレッシャーを2倍3倍に

DarkSideグループは強硬に被害者に身代金の支払いを迫ります。サイバー攻撃者は無視されることを嫌います。被害者が2〜3日以内に返事をしなければ、脅迫メールを送ります。それでも反応がない場合は、携帯電話で経営幹部に電話をかけはじめます。そのあとは顧客や報道機関に連絡を取るぞと脅してくる可能性があります。それでも反応がない場合は、DDoSを仕掛け、外部のウェブサイトを停止させる可能性があります。

DarkSideは、最近増加しているような、ランサムウェアの名が示す範疇を超えたオペレーションを展開するグループの1つで、私たちが「二重・三重の恐喝」と呼ぶ戦術を取り入れています(ほかにMaze、Sodin、ClopNetWalker、Contiなどもそうしたグループです)。

これらの攻撃的手法は、ファイルを暗号化し、復号によるアクセス権回復のために身代金を要求するという、典型的なランサムウェア攻撃のパターンをベースにしています。被害者の中にはデータをバックアップしていているので侵害システムのアクセス回復のための復号キーに金銭を払う必要性を感じない人もいます。ただし攻撃者はそうしたシナリオにも備えていて、機微な情報を持ち出し、被害者のネットワークを調査しておいて、ターゲットが支払いを拒否した場合にはさらなる攻勢をかけられるようにしています。その上で、データを公開すると脅したり、DDoS攻撃を仕掛けたりします。

DarkSideは、「行動規範」に基づいて活動していると称しており、自分たちを信頼できるセキュリティの「パートナー」として位置づけようとさえしています。被害者がお金を払えば、復号キーを提供したり、盗んだデータを削除したと考えられる証拠を見せるなどの善意を示す行動をとります。尋ねられれば、セキュリティギャップをなくすために、どうやって侵入したのかを被害者に伝えることすらあります。

DarkSideランサムウェア: TTP(戦術、技術、および手順)

DarkSideグループが被害者のデータにアクセスするために活用したソフトウェアやツールには以下のようなものがあります。

  • AnyDeskやTeamViewerなど、被害者のネットワークへのアクセスを維持するための正規のリモート監視・管理(RMM)ツール。
  • ランサムウェアの暗号化に先だち、被害者のActive Directoryに関する情報を収集するための偵察ツール(ADRecon)
  • パスワードの資格情報をダンプする資格情報収集ユーティリティのMimikatz。
  • 目的(たとえばGPOを適用してランサムウェアを実行するスケジュールタスクを作成するなど)を遂行するためのPowerShell
  • DashlaneやLastPassなど、追加の認証情報にアクセスするためのパスワード管理ユーティリティ
  • SQL Serverを対象としたSQLDumper.exeなどのユーティリティ
  • ITスタッフのメンバーに連絡するための被害者の社内のメッセージングソフトウェア
  • クラウド共有サイト(PCloudやMegaSyncなど)にデータを流出させるためのファイル転送ソフトRclone。

Windowsベース以外のシステムを標的にするグループはあまり多くありませんが、2021年初頭、DarkSideは、多くの組織がサーバー仮想化を活用して運用コストの削減やIT生産性の向上に利用しているVMwareの仮想マシン(VM)を標的にしたESXIバージョンのランサムウェアを発表しました。

なぜこれが重要かといえば、クライアントについてはエンドポイントセキュリティ製品がWindows PCを暗号化から保護する役割を果たすことが多かった一方、サーバーについてはVMwareのESXIによって高度に仮想化されていたことから、ESXIバージョンのランサムウェアが登場したことで、DarkSideグループは仮想インフラをも暗号化できるようになったからです。サイバー攻撃者はファイル共有やDNS、電子メールなどのアプリケーションやサービスを実質的に停止させ、被害ネットワークに支障をきたしたり、最悪の場合は機能しなくします。

ここから学べること

Unit 42 では以前からランサムウェア攻撃者がコード開発やインフラ、C2の運用をアウトソースし、RaaSを運用するなどの専門化を進めていることを指摘してきました。彼らの多くはメディアからの問い合わせに応じたり被害者用にホットラインを運営するまでに組織化されています。

これらサイバー攻撃者は今後も攻撃の手を緩めることはありません。ですから組織はデータを保護し、DarkSideランサムウェアギャングをはじめとする攻撃グループから身を守るためのベストプラクティスに従う必要があります。

また、攻撃に備えてインシデントレスポンスプランを用意しておくことも必要です。Unit 42では、組織の防御力強化の着手に役立つRansomware Readiness Assessment(ランサムウェアへの対応準備の評価)を提供しています。

パロアルトネットワークス製品をご利用中のお客様は同脅威から保護されています。

  • WildFire: 既知のサンプルはすべてマルウェアとして識別されます。
  • Cortex XDR:
    • DarkSideのインジケータを含みます。
    • ランサムウェア対策モジュールでDarkSideの暗号化の振る舞いを検出します。
    • ローカル分析・検出機能によりDarkSideバイナリを検出します。
  • Cortex XSOAR: Cortex XSOARの ランサムウェアコンテンツパックは、インシデント対応、脅威インテリジェンス、SecOpsチームの侵入後対応プロセスを標準化・高速化する上で直接的に役立ちます。このコンテンツパックは、ランサムウェア対応のほとんどのステップを自動化しますが、そこにインシデント対応チームやSecOpsチームが直接ガイダンスやフィードバックを加えることもできます。
  • 次世代ファイアウォール: DNSシグネチャが既知のコマンド&コントロール(C2)ドメインを検出し、URLフィルタリングで同ドメインをマルウェアとして分類します。
  • AutoFocus: 関連アクティビティをDarkSideタグで追跡します。

IoC

Darksideの脅威評価に関連する指標は、GitHubから利用できます。また、Unit 42 TAXIIフィードにも公開されていますので、ATOMビューアからご確認ください。

行動方針

このセクションでは、DarkSideのアクティビティに関連する戦術と手法を文書化し、それらを弊社製品・サービスに直接マッピングします。また、お客様にてデバイスの構成が正しく行われているかどうかを確認する方法についてもご説明します。

製品/サービス 行動方針
初期アクセス、横展開、コマンド&コントロール、実行、漏出、永続性、収集、特権昇格、探索、防衛回避
Exploit Public-Facing Application [T1190](外部に公開されたアプリケーションの悪用)、
External Remote Services [T1133](外部リモートサービス)、
Remote Desktop Protocol [T1021.001](リモートデスクトッププロトコル)、
Web Protocols [T1071.001](Webプロトコル)、
Multi-hop Proxy [T1090.003](マルチホッププロキシ)、
Valid Accounts [T1078](有効なアカウント)、
Phishing [T1566](フィッシング)、
PowerShell [T1059.001]、
Automated Exfiltration [T1020](自動化された漏出)、
Scheduled Task [T1053.005](スケジュール化されたタスク)、
Archive Collected Data [T1560](収集したデータのアーカイブ)、
Automated Collection [T1119](自動収集)、
Bypass User Account Control [T1548.002](UACのバイパス)、
Account Discovery [T1087](アカウント探索)、
Modify Registry [T1112](レジストリの改ざん)
次世代ファイアウォール untrustゾーンからより信頼できるtrustゾーンへのトラフィックを許可する場合は、アプリケーションのセキュリティポリシーが存在することを確認します
トラフィックを許可するセキュリティポリシーでサービスに「any」が設定されているものがないことを確認します
信頼された脅威インテリジェンスソースのIPアドレスとの間のすべてのトラフィックを拒否する「セキュリティポリシー」が存在することを確認します
User-IDが内部の信頼できるインターフェースに対してのみ有効になっていることを確認します
User-IDが有効になっている場合は「許可/除外ネットワーク」が使用されていることを確認します
User-IDが有効になっている場合はUser-IDエージェントに最小限の権限を設定していることを確認します
User-IDサービスアカウントに対話型ログオン権限がないことを確認します
User-IDサービスアカウントのリモートアクセス機能が禁止されていることを確認します
User-IDエージェントのトラフィックがuntrustゾーンに入るのをセキュリティポリシーで制限していることを確認します
ファイルブロックを設定します
インターネット宛てのトラフィックの [SSLフォワード プロキシ] ポリシーが構成されていることを確認します
SSLまたはTLSを使用するサーバー宛てのすべての信頼できないトラフィックに対して [SSLインバウンド インスペクション] が要求されていることを確認します
復号用の証明書が信頼できるものであることを確認します
脅威防御† 脆弱性防御プロファイルが重大度「Critical(重大)」および「High(高)」の脆弱性に対する攻撃が「Block(ブロック)」に設定されていること、重大度「Medium(中)」、「Low(低)」、「Informational(情報)」の脆弱性が「Default(デフォルト)」に設定されていることを確認します
トラフィックを許可するすべてのセキュリティルールに安全な脆弱性防御プロファイルが適用されていることを確認します
imap、pop3を除くすべてのデコーダでアンチウイルスプロファイルがブロックに設定されていることを確認します
関連するすべてのセキュリティポリシーに安全なアンチウイルスプロファイルが適用されていることを確認します
アンチスパイウェアプロファイルが、すべてのスパイウェアの重大度レベル、カテゴリ、および脅威をブロックするように構成されていることを確認します
使用中のすべてのアンチスパイウェアプロファイルでDNSシンクホールが構成されていることを確認します
使用中のすべてのアンチスパイウェアプロファイルでパッシブDNSの監視が有効に設定されていることを確認します
インターネットへのトラフィックを許可するすべてのセキュリティポリシーに、安全なアンチスパイウェアプロファイルが適用されていることを確認します
すべてのゾーンに、Reconnaissance Protection(偵察行為の防御)の設定をすべて有効化し、調整し、適切な処理を設定したゾーンプロテクションプロファイルがあることを確認します
ユーザー資格情報の送信で、URLカテゴリに対し「block(ブロック)」または「continue(継続)」のアクションが使用されていることを確認します
DNSセキュリティ† アンチスパイウェア プロファイルでDNSセキュリティを有効にします
URLフィルタリング† URLフィルタリングが使用されていることを確認します
URLフィルタリングが<enterprise approved value>のURLカテゴリに「block(ブロック)」または「override(オーバーライド)」のアクションを使用していることを確認します
すべてのURLへのアクセスがログに記録されていることを確認します
すべてのHTTPヘッダログオプションが有効になっていることを確認します
インターネットへのトラフィックを許可するすべてのセキュリティポリシーで安全なURLフィルタリングが有効になっていることを確認します
WildFire † WildFireのファイルサイズのアップロード制限が最大化されていることを確認します
WildFireのファイルブロックプロファイルのすべてのアプリケーションとファイルタイプについて、転送が有効になっていることを確認します
すべてのセキュリティポリシーでWildFire分析プロファイルが有効になっていることを確認します
復号したコンテンツのWildFireへの転送が有効になっていることを確認します
すべてのWildFireセッション情報設定が有効になっていることを確認します
WildFireによって検出された悪意のあるファイルに対するアラートが有効になっていることを確認します
「WildFireの更新スケジュール」が毎分ごとに更新をダウンロードしてインストールするように設定されていることを確認します
Cortex XSOAR XSOAR のプレイブックをデプロイ Cortex XDR – Isolate Endpoint
XSOARのプレイブックをデプロイ – Access Investigation Playbook
XSOARのプレイブックをデプロイ – Impossible Traveler
XSOARのプレイブックをデプロイ – Block Account Generic
XSOARのプレイブックをデプロイ – Block URL
XSOARのプレイブックをデプロイ - Palo Alto Networks – Hunting And Threat Detection
XSOARのプレイブックをデプロイ - PAN-OS Query Logs for Indicators
XSOAR プレイブックデプロイ - Phishing Investigation - Generic V2
XSOAR プレイブックデプロイ - Endpoint Malware Investigation
Cortex XDR ホスト ファイアウォール プロファイルを構成します
アンチエクスプロイトプロテクションを有効にします
アンチマルウェアプロテクションを有効にします
アクティビティ検出のために次のBIOCアラートを探します*:

Cortex XDR Analytics - Possible LSASS memory dump

Cortex XDR Analytics - Unsigned process executed as a scheduled task

Cortex XDR Analytics - Connection to a TOR anonymization proxy

Cortex XDR Analytics - Dumping Registry hives with passwords

探索
File and Directory Discovery [T1083](ファイルとディレクトリの探索)、
Process Discovery [T1057](プロセスの探索)
Cortex XDR アクティビティ検出のために次のBIOCアラートを探します*:

Cortex XDR Analytics - Multiple Discovery Commands

影響
Service Stop [T1489](サービス停止)、
Inhibit System Recovery [T1490](システムの復元禁止)、
Data Encrypted for Impact [T1486](影響を与えるためのデータ暗号化)
Cortex XDR アクティビティ検出のために次のBIOCアラートを探します*:

Manipulation of Volume Shadow Copy configuration

Cortex XSOAR XSOARのプレイブックをデプロイ - Ransomware Manual

表1 Darksideランサムウェアの行動方針
†これらの機能はNGFWのサブスクリプションサービスの一部として提供されている
*これらの分析検出器は、Cortex XDR Proのお客様に対し自動的にトリガーされます