ランサムウェアギャングREvil : Kaseya VSA攻撃の背後にいる攻撃グループを理解する

By

Category: Unit 42

Tags: , , , , ,

A conceptual image representing the REvil threat actors discussed in the post.

This post is also available in: English (英語)

概要

REvilは、世界で最も悪名高いランサムウェアの1つとして浮上してきました。この1ヶ月の間に、世界最大の食肉加工会社から1,100万ドルもの身代金支払いを引き出し、ブラジルの医療診断会社に500万ドルを要求し、Kaseya VSAのITマネジメントソフトウェアを使用する数十社、おそらくは数百社の企業に対し、大規模な攻撃を仕掛けました。

REvil(Sodinokibiとしても知られる)はサイバー犯罪界隈では新参者のように映るかもしれません。ですが、Unit 42では3年前からこのグループに関連する脅威アクターを監視してきました。私たちが最初にこのグループに遭遇したのは2018年で、当時はGandCrabと呼ばれるグループと連携し、マルバタイジングやエクスプロイトキット(悪意のある広告やマルウェアツールで、ハッカーが被害者が悪意のあるWebサイトを訪れた際にドライブバイダウンロードで感染させるもの)によるランサムウェア配布に主眼を置いていました。

このグループはのちにREvilに姿を変えて成長し、膨大なデータ漏出や数百万ドルの身代金要求で悪名をはせるようになりました。いまや彼らはサイバー恐喝ギャングのエリートグループの一員で、ランサムウェアを世界中の企業や国家にとってのもっとも差し迫ったセキュリティ脅威たらしめた、激しく消耗性の高い攻撃を急増させています。

今年の初め、私たちはREvil/SodinokibiとGrandCrabをリンクさせる脅威評価を公開しました。今回は、2021年の前半6ヶ月間に12件以上のREvilランサムウェア事例を担当したUnit 42サイバーセキュリティコンサルタントが得た知見をここに共有します。REvilの戦術と同脅威に対抗するために取った措置について説明することで、組織が将来ランサムウェア攻撃に対してよりよい防御を行えることを願っています。REvilその他のランサムウェアのオペレータに関する詳しい情報は「2021 Unit 42ランサムウェア脅威レポート」も一読されることをお勧めします。

パロアルトネットワークスのWildFire脅威防御Cortex XDRは、REvilランサムウェアによる感染を検知・防止します。

侵害の懸念があり、弊社にインシデントレスポンスに関するご相談をなさりたい場合は、infojapan@paloaltonetworks.com まで電子メールにてご連絡ください (ご相談は弊社製品のお客様には限定されません)。

RaaS(サービスとしてのランサムウェア)

REvilは、RaaS(Ransomware as a Service、サービスとしてのランサムウェア)を提供する著名プロバイダの1つです。この犯罪グループは、柔軟な設定のできる暗号化ツールや復号ツール、交渉やコミュニケーション用のインフラやサービス、身代金支払いをしぶる被害者の窃取データを公開するリークサイトを提供しています。これらのサービスに対しREvilは交渉身代金額の何パーセントかを手数料として受け取ります。REvilのアフィリエイトは、被害者に支払いをせまるため、2つのアプローチをとるケースが増えています。そのアプローチとは、データの暗号化で組織が情報にアクセスできず、重要なコンピュータシステムを使用できず、バックアップ復旧ができないようにするものが1つ、データを窃取し、リークサイトに掲載すると脅すものが1つです(この手口は二重恐喝と呼ばれています)。

REvilのオペレーションの背後にいる脅威アクターは、二重恐喝スキームの一環として、データのステージングと漏出をしてから被害環境を暗号化することが多くなっています。被害者組織が支払いをしぶると、REvilの脅威アクターは通常、漏出させた情報を公開します。REvilの顧客である脅威アクターは、大規模な組織を中心に攻撃をしかけることで、より多額の身代金をせしめるようになっています。私たちが観測した事例では、REvilとそのアフィリエイトは2021年の最初の6ヶ月間、平均しておよそ225万ドルの支払いを引き出していました。具体的な身代金額は組織規模や窃取されたデータの種類によって異なります。さらに、被害者がビットコインによる支払い期限を守れない場合、攻撃者は要求を倍にすることが増えています。最終的に被害者が支払いや交渉に応じなければ、窃取データをリークサイトに掲載します。

2021年の傾向: 新旧の戦術が混在

Unit 42は、今年に入ってから12件以上のREvilランサムウェアのケースを手がけてきました。そのなかには 2021 Unit 42 ランサムウェア脅威レポートで引用した戦術から変わっていないものもありましたが、REvilの標準的な攻撃ライフサイクルから逸脱した戦術もいくつか見られました。今回はクイックリファレンスとして、REvilのTTP(戦術・技術・手順)などの侵害指標(IoC)を表示するActionable Threat Objects and Mitigations(ATOM)を生成しました。

REvilの脅威アクターによるアクセス奪取方法

REvilの脅威アクターは、あらかじめ侵害で入手しておいた認証情報を使い、リモートデスクトッププロトコル(RDP)経由でインターネットに向いたアセットにリモートからアクセスする、という方法を継続的に利用しています。このほかよく見られる手口として、二次ペイロードにつなげるためのフィッシングがあります。ただし、最近のMicrosoft Exchange ServerのCVEに関連した複数のユニークな攻撃ベクトルや、SonicWallの侵害を利用した事例も観測されています。以下に、2021年にこれまで観測した5つのユニークな侵入ベクトルをあげます。

  • ユーザーが悪意のある電子メールの添付ファイルをダウンロードして開くと、中のペイロードがQakBot亜種のマルウェアのダウンロードとインストールを開始する。私たちが少なくとも1つの事例で観測したあるバージョンのQakBotでは、ローカルシステムに保存されている電子メールを収集・アーカイブし、攻撃者のコントロール下にあるサーバーに漏出させていた。
  • ある事例では、被害ネットワークへの侵入口として、悪意のあるZIPファイルを添付ファイルとして利用していた。このZIPファイルのなかにマクロを埋め込んだExcelファイルが含まれており、これがUrsnif感染につながった。
  • 複数のアクターが漏洩した認証情報を利用し、インターネットに向いたシステムにRDP経由でアクセスしていた。これらの事例でアクターの認証情報入手経路は不明。
  • あるアクターはクライアントSonicWallアプライアンスにおける脆弱性(CVE-2021-20016)を悪用し、被害環境へのアクセスに必要な認証情報にアクセスしていた。
  • このほかExchangeの脆弱性(CVE-2021-27065およびCVE-2021-26855)を利用し、インターネットに向けられたExchangeサーバーにアクセス、最終的に「admin」というローカル管理者アカウントを作成し、「Remote Desktop Users」グループに追加しているアクターも確認された。

REvilの脅威アクターが被害環境内でのプレゼンスを確立する方法

アクセス権を取得したREvilの脅威アクターは、通常はCobalt Strike BEACONを使って環境内でのプレゼンスを確立します。いくつかの事例では、リモート接続ソフトウェアのScreenConnectやAnyDeskも使われていました。このほか、独自にローカルアカウントやドメインアカウントを作成し、「Remote Desktop Users」グループに追加するケースも見られました。さらに脅威アクターは、被害環境内で自身のプレゼンスを脅かす、ないし検出するようなウイルス対策やセキュリティサービス、プロセスを無効にするケースがよく見られました。

以下に、2021年にこれまで観測した具体的な手法をあげます。

  • 被害環境へのアクセス後、このアクセスの確立・維持のため、さまざまなツールを使う。Cobalt Strike BEACONの利用やローカルアカウントやドメインアカウントの作成がその例。ある事例ではREvilグループがBITSジョブを利用し、リモートのあるIPに接続し、Cobalt Strike BEACONをダウンロード・実行していた。
  • REvilの脅威アクターが被害環境内でのアクセスを維持するため、ScreenConnectやAnyDeskソフトウェアを展開する「Total Deployment Software」を使用する事例が複数確認された。
  • 多くの事例で、ドメインレベルの管理者資格にアクセスできる場合でもBEACONやNETコマンドでローカルレベルやドメインレベルのアカウントが作成されていた。
  • ウイルス対策製品、Exchange、VEAAM、SQL、EDRベンダ関連のサービスを停止・無効化したり、ターミナルサーバー接続を有効化したり、よくある回避技術を使っている様子がアクティビティ全般で観測された。そのさいは、英数字[1-3]からなるバッチスクリプトや、PowerShellスクリプトが使われていた。

REvilの脅威アクターがアクセス拡大・情報収集を行う方法

ほとんどの場合、REvilの攻撃アクターはより高い権限を持つ追加のアカウントにアクセスしようとします。それらのアカウントを使って被害環境内でラテラルムーブを行い、目的を完遂するためです。そのさい彼らはMimikatzを使い、ローカルホストにキャッシュされた認証情報にアクセスすることがよくあります。ただしSysInternalsのツールのprocdumpを使ってLSASSプロセスをダンプする様子も確認されています。さらにこの脅威アクターは、ファイル名に「password」が含まれるファイルにアクセスする様子もしばしば観測されています。ある事例ではKeePass Password Safeにアクセスしようとしていました。

偵察段階では被害環境の情報収集のために様々なオープンソースツールが利用されることが多く、場合によっては管理者コマンドのNETSTATIPCONFIGで情報が収集されることもあります。

以下に2021年のREvilのアクティビティで具体的に観測された内容をあげます。

  • ネットワーク偵察ツールのnetscan、Advanced Port Scanner、TCP View、KPort Scannerは、Unit 42がレスポンスを手がけた事例の半数以上で観測された。
  • 脅威アクターはBloodhoundやAdFindを使ってネットワークをマッピングしたり、ほかのActive Directory情報を収集したりすることが多い。
  • 2つの事例で、被害環境内のホスト上で実行されているプロセスやサービスの把握にProcessHackerとPCHunterが使用された様子を観測した。

REvilの脅威アクターが被害環境全体でラテラルムーブを行う方法

一般にREvilの脅威アクターは、Cobalt Strike BEACONとRDPを使って、侵害であらかじめ入手しておいた認証情報を使い、被害環境内でのラテラルムーブを行います。このほかUnit 42ではラテラルムーブの手段にScreenConnectやAnyDeskソフトウェアが使されていることも確認しています。他のランサムウェア攻撃グループでもこうした手段を使う様子は見られますが、REvilの脅威アクターはMEGASyncやPixelDrainといったファイル共有サイトからこれらのバイナリを取得している様子が確認されています。

REvilの脅威アクターが目的を達成する方法

最終的にREvilの脅威アクターは攻撃の最終段階に移行します。この段階でネットワークが暗号化され、データがステージング・漏出され、さらにデータ破壊による復旧・分析妨害が確認されました。

ランサムウェアの展開

  • 通常、偵察段階で入手した被害者ネットワークのコンピュータ名またはIPアドレスのテキストファイルのリストと、正規の管理ツールであるPsExecを使ってランサムウェアの暗号化ツールを展開する。
  • ある事例では、BITSジョブを使って自身のインフラからランサムウェアを取得していた。別の事例では、MEGASync上にマルウェアをホストしていた。
  • このほか、ドメインアカウントを使ってホストに個別にログインし、ランサムウェアを手動で実行している事例もあった。
  • 2つの事例では、ランサムウェア展開中のホスト維持のため、dontsleep.exeというプログラムを利用していた。
  • 最初の侵害から7日以内に被害環境を暗号化することが多かった。ただし暗号化までに最大23日を要した事例もあった。

漏出

  • アーカイブデータの漏出には、MEGASyncソフトウェアを使ったり、MEGASyncのWebサイトにアクセスしている事例が多数見られた。
  • ある事例ではRCLONEを使ってデータを漏出させていた。

防御戦略

暗号化段階では、バッチスクリプトやwevtutil.exeを使って103種類のイベントログが消去されていました。また最近ではとくに珍しい手口ではありませんが、おそらくはフォレンジック的な証拠の復旧を阻もうとして、ボリュームシャドーコピーが削除されていました。

結論: 脅威は進化する

たしかにREvilのオペレーションを行う攻撃グループは大規模な組織を狙っている可能性が高いですが、どんな組織も潜在的には被害者となる可能性があります。新型コロナウイルス(COVID-19)禍の出口が見えつつあるいま、IT部門やネットワークの防御側は時間をさいて、自分たちの環境ではどのような状態が「正常」であるのかを学ぶべきでしょう。そうすることで、異常に気付き、疑問を持てるようになります。そうした異常や疑問は調査し、防御態勢を見直しましょう。全ユーザーがマクロを有効化したドキュメントを開ける必要はあるでしょうか。最低でもQakBotのような二次感染を警告してくれる可視化性能や保護性能を備えたエンドポイントは導入されているでしょうか。どうしてもRDPが必要な場合にトークンによる多要素認証(MFA)を導入しているでしょうか。こうした確認を一回やって終わりにするのではなく日常的に続けていきましょう。攻撃者の立場で考えるのです。そうすれば自組織が次の犠牲者になるのを防ぎ、ありがたくない理由で新聞の見出しを飾るのを防げるかもしれません。

パロアルトネットワークスのお客様は、次の方法でこの脅威から保護されています。

  • WildFire: 既知のサンプルはすべてマルウェアとして識別されます。
  • Cortex XDR:
    • 既知の REvil のIoCを防止します。
    • ランサムウェア対策モジュールでREvilの暗号化の振る舞いを検出します。
    • ローカル分析・検出機能によりREvilバイナリの実行を防止します。
    • Behavioral Threat Protection(振る舞い脅威防御)、アンチエクスプロイトモジュール、Suspicious Process Creation(疑わしいプロセスの生成)がREvilのテクニックを防止します。
    • XDR Analytics、Analytics BIOC、BIOCがREvilのテクニックを検出します。
  • AutoFocus: 関連アクティビティをREvilタグで追跡します。

Unit 42によるインシデントレスポンスサービス: Unit 42 はお客様事例のレスポンスと復旧の支援サービスを提供しています。

追加資料

脅威の評価:GandCrabおよびREvilランサムウェア

2021年Unit 42ランサムウェア脅威レポート

ランサムウェア攻撃: 定義、攻撃のしくみ、感染の手口から対応のヒントまで

新しいランサムウェア脅威の先を行く: データの引き出しと強奪から防御する