脅威の評価: 米国のヘルスケア・公衆衛生セクタを標的とするRyuk ランサムウェアとTrickbot

Conceptual image illustrating Ryuk Ransomware

This post is also available in: English (英語)

概要

2020年10月28日、Cybersecurity and Infrastructure Security Agency (CISA)、連邦捜査局(FBI)、保健社会福祉省(HHS)は、米国のヘルスケアシステムに対するサイバーセキュリティの脅威の増大と差し迫った問題について共同サイバーセキュリティアラートを公開しました。

脅威オペレーターはヘルスケア・公衆衛生セクタの標的化に高い関心を示しており、ヘルスケアサービスとその運用に混乱をまねく可能性があります。観測された活動内容には悪名高い情報窃取型マルウェアTrickbotの使用も含まれており、ここからRyukランサムウェアなどの悪意のあるファイルのインストールにつながる可能性があります。

このアラートは、Universal Health Services(UHS)によるRyukランサムウェア攻撃の報告直後に公開されています。このランサムウェア攻撃では、全米のUHSサイトが何週間にもわたり混乱に見舞われました。他の米国を拠点とする病院でも同様のランサムウェア攻撃が報告されており、それにはオレゴンのある病院や、ニューヨークのまたべつの病院も含まれます。同様に、フィラデルフィアにある医療技術系組織も、ランサムウェア攻撃の標的となりました。

パロアルトネットワークス次世代ファイアウォールのWildFireを含むセキュリティサブスクリプションは、TrickbotとRyukに関連するアクティビティを検出します。Cortex XDRもアンチランサムウェアモジュール、アンチマルウェアモジュールを備えています。これらのモジュールは、ランサムウェアなどの悪意のあるファイルの振る舞いに関連した暗号化関連アクティビティを対象にしています。さらに、AutoFocusをご利用中のお客様は、次のタグを使用して本脅威に関連するアクティビティを確認できます: RyukTrickbotBazaLoader

ランサムウェア関連の情報は、『2021 Unit 42 ランサムウェア脅威レポート』もあわせて参照してください。

マルウェアの概要

Trickbotはモジュラー型のマルウェアで、バックドアへのアクセスを提供したり、脅威オペレーターが被害システムに追加でマルウェアを配布したりできるようにます。これにはまた、ワーム機能やシステム列挙などの他の機能も含まれています。最新のモジュールの1つであるAnchor_DNSは、コマンド&コントロール(C2)アクティビティでのDNSトンネリングに使用されます。

Anchor_DNSモジュールはPowerShellを使ってスクリプトを実行し、とくに差し障りのない正当なドメインへの接続チェックを含む、複数のDNSリクエストを出します。脅威オペレーターは、マルウェアによるC2アクティビティ中、感染システムとの通信を可能にするアクティブなネットワーク接続があるかどうかを確認する目的で、こうしたことをよく行います。このチェックでは、次の正当なドメインが使用されることがあります。

ipecho[.]net
api[.]ipify[.]org
checkip[.]amazonaws[.]com
ip[.]anysrc[.]net
wtfismyip[.]com
ipinfo[.]io
icanhazip[.]com
myexternalip[.]com

表1 TrickbotのAnchor_DNSモジュールがインターネット接続チェック実行用に使用する正当なドメイン

通常、Ryukランサムウェアは、システムに配置された「RyukReadMe」という名前のファイルがあることによりその存在を知ることができます。このランサムウェアはTrickbotなどのマルウェアが関与する多段階攻撃の最終段階でよく見られるもので、最近ではBazaLoader (「BazarLoader」とも呼ばれる)でも確認されました。多くの場合、Ryukは初回感染から数週間ないし数か月が経過してはじめてシステムにロードされます。Ryukのオペレーターは、PowerShellやWindows Management Instrumentationなどの対象環境にもとからありそうなツールを使用して侵害した環境を列挙することで、被害を受けたネットワークについて学習します。

暗号化前に次のコマンドが侵害システム上で実行されることがあります。

ヘルスケア・公衆衛生セクタの標的化に関連するRyukとTrickbotの活動内容については共同サイバーセキュリティアドバイザリからその詳細を確認できます。

TrickbotとBazaLoaderの両感染の初期侵入ベクトルは、悪意のある電子メール経由のものが最も頻繁に観測されています。

また、最近確認されたTrickbotのサンプルはMalwareBazaarから確認できます。このほか、Trickbotモジュールに関する追加情報はUnit42ブログでも確認できます。

RyukBazaLoader の最近のサンプルは、MalwareBaazarにもあります。

行動方針

このセクションでは、RyukおよびTrickbotのアクティビティに関連する戦術と手法を文書化し、それらを弊社製品・サービスに直接マッピングします。パロアルトネットワークス製品をご利用中のお客様は、この表を利用して、環境内の現在の構成を確認できます。

Tactic/戦術 Technique/技術(Mitre ATT&CKのID) 製品/サービス 行動方針
初期アクセス 添付ファイル型スピアフィッシング[T1566.001]
(フィッシング [T1566])
次世代ファイアウォール ファイルブロッキングを設定
脅威防御† imap、pop3を除くすべてのデコーダでアンチウイルスプロファイルがブロックに設定されていることを確認します
セキュアなアンチウイルスプロファイルが関連するすべてのセキュリティポリシーに適用されていることを確認します
WildFire WildFireファイルサイズのアップロード制限が最大化されていることを確認します
WildFireファイルブロックプロファイルのすべてのアプリケーション、ファイルタイプについて、転送が有効になっていることを確認します
すべてのセキュリティポリシーでWildFire分析プロファイルが有効になっていることを確認します
復号したコンテンツのWildFireへの転送が有効になっていることを確認します
すべてのWildFireセッション情報設定が有効になっていることを確認します
WildFireによって検出された悪意のあるファイルに対するアラートが有効になっていることを確認します
「WildFireの更新スケジュール」が毎分ごとに更新をダウンロードしてインストールするように設定されていることを確認します
Cortex XDR アンチマルウェアプロテクションを有効にします
ランサムウェア対策保護を有効にします
Cortex XSOAR XSOAR プレイブックデプロイ - Phishing Investigation - Generic V2
XSOAR プレイブックデプロイ - Endpoint Malware Investigation
リンク型スピアフィッシング[T1566.002]
(フィッシング [T1566])
次世代ファイアウォール untrustゾーンからより信頼できるtrustゾーンへのトラフィックを許可する場合は、アプリケーションのセキュリティポリシーが存在することを確認します
トラフィックを許可するセキュリティポリシーでサービスに「any」が設定されているものがないことを確認します
信頼された脅威インテリジェンスソースのIPアドレスとの間のすべてのトラフィックを拒否する「セキュリティポリシー」が存在することを確認します
脅威防御† imap、pop3を除くすべてのデコーダでアンチウイルスプロファイルがブロックに設定されていることを確認します
セキュアなアンチウイルスプロファイルが関連するすべてのセキュリティポリシーに適用されていることを確認します
ユーザー資格情報の送信で、URLカテゴリに対し「ブロック」または「継続」のアクションが使用されていることを確認します
URLフィルタリング
URLフィルタリングが使用されていることを確認します
URLフィルタリングがURLカテゴリに「ブロック」または「オーバーライド」のアクションを使用していることを確認します
すべてのURLへのアクセスがログに記録されていることを確認します
すべてのHTTPヘッダーログオプションが有効になっていることを確認します
インターネットへのトラフィックを許可するすべてのセキュリティポリシーで安全なURLフィルタリングが有効になっていることを確認します
WildFire すべてのセキュリティポリシーでWildFire分析プロファイルが有効になっていることを確認します
復号したコンテンツのWildFireへの転送が有効になっていることを確認します
すべてのWildFireセッション情報設定が有効になっていることを確認します
WildFireによって検出された悪意のあるファイルに対するアラートが有効になっていることを確認します
「WildFireの更新スケジュール」が毎分ごとに更新をダウンロードしてインストールするように設定されていることを確認します
Cortex XSOAR XSOARのプレイブックをデプロイ – Block URL
XSOAR プレイブックデプロイ - Phishing Investigation - Generic V2
ローカルアカウント[T1078.003]
(有効なアカウント[T1078])
次世代ファイアウォール User-IDが内部の信頼できるインターフェースに対してのみ有効になっていることを確認します
User-IDが有効になっている場合は「許可/除外ネットワーク」が使用されていることを確認します
User-IDが有効になっている場合はUser-IDエージェントに最小限の権限を設定していることを確認します
User-IDサービスアカウントに対話型ログオン権限がないことを確認します
User-IDサービスアカウントのリモートアクセス機能が禁止されていることを確認します
User-IDエージェントのトラフィックがuntrustゾーンに入るのをセキュリティポリシーで制限していることを確認します
脅威防御† imap、pop3を除くすべてのデコーダでアンチウイルスプロファイルがブロックに設定されていることを確認します
セキュアなアンチウイルスプロファイルが関連するすべてのセキュリティポリシーに適用されていることを確認します
すべてのゾーンに特別に細工されたパケットをドロップするゾーンプロテクションプロファイルがあることを確認します
Cortex XSOAR XSOARのプレイブックをデプロイ – Access Investigation Playbook
XSOARのプレイブックをデプロイ – Impossible Traveler
XSOARのプレイブックをデプロイ – Block Account Generic
実行 悪意のあるファイル [T1204.002]
(ユーザー実行 [T1204])
次世代ファイアウォール User-IDが内部の信頼できるインターフェースに対してのみ有効になっていることを確認します
User-IDが有効になっている場合は「許可/除外ネットワーク」が使用されていることを確認します
User-IDが有効になっている場合はUser-IDエージェントに最小限の権限を設定していることを確認します
User-IDサービスアカウントに対話型ログオン権限がないことを確認します
User-IDサービスアカウントのリモートアクセス機能が禁止されていることを確認します
User-IDエージェントのトラフィックがuntrustゾーンに入るのをセキュリティポリシーで制限していることを確認します
脅威防御† imap、pop3を除くすべてのデコーダでアンチウイルスプロファイルがブロックに設定されていることを確認します
セキュアなアンチウイルスプロファイルが関連するすべてのセキュリティポリシーに適用されていることを確認します
アンチスパイウェアプロファイルが、すべてのスパイウェアの重大度レベル、カテゴリ、および脅威をブロックするように構成されていることを確認します
使用中のすべてのアンチスパイウェアプロファイルでDNSシンクホールが構成されていることを確認します
使用中のすべてのアンチスパイウェアプロファイルでパッシブDNSの監視が有効に設定されていることを確認します
インターネットへのトラフィックを許可するすべてのセキュリティポリシーに、安全なアンチスパイウェアプロファイルが適用されていることを確認します
DNSセキュリティ
アンチスパイウェア プロファイルでDNSセキュリティを有効にする
URLフィルタリング
URLフィルタリングが使用されていることを確認します
URLフィルタリングがURLカテゴリに「ブロック」または「オーバーライド」のアクションを使用していることを確認します
すべてのURLへのアクセスがログに記録されていることを確認します
すべてのHTTPヘッダーログオプションが有効になっていることを確認します
インターネットへのトラフィックを許可するすべてのセキュリティポリシーで安全なURLフィルタリングが有効になっていることを確認します
WildFire WildFireファイルサイズのアップロード制限が最大化されていることを確認します
WildFireファイルブロックプロファイルのすべてのアプリケーション、ファイルタイプについて、転送が有効になっていることを確認します
すべてのセキュリティポリシーでWildFire分析プロファイルが有効になっていることを確認します
復号したコンテンツのWildFireへの転送が有効になっていることを確認します
すべてのWildFireセッション情報設定が有効になっていることを確認します
WildFireによって検出された悪意のあるファイルに対するアラートが有効になっていることを確認します
「WildFireの更新スケジュール」が毎分ごとに更新をダウンロードしてインストールするように設定されていることを確認します
Cortex XDR アンチエクスプロイトプロテクションを有効にします
アンチマルウェアプロテクションを有効にします
ランサムウェア対策保護を有効にします
Cortex XSOAR XSOAR プレイブックデプロイ - Phishing Investigation - Generic V2
Deploy XSOAR Playbook Cortex XDR – Isolate Endpoint
XSOARのプレイブックをデプロイ – Block Account Generic
Windowsコマンドシェル[T1059.003]
(コマンドとスクリプトインタープリタ [T1059])
Cortex XDR アンチエクスプロイトプロテクションを有効にします
アンチマルウェアプロテクションを有効にします
権限昇格 プロセスハロウイング[T1055.012]
(プロセスインジェクション[T1055])
Cortex XDR マルウェアセキュリティプロファイルでBehavioral Threat Protection(BTP)を設定します
Windowsサービス[T1543.003]
(システムプロセスの作成または変更[T1543])
Cortex XDR マルウェアセキュリティプロファイルでBehavioral Threat Protection(BTP)を設定します
プロセスインジェクション[T1055] Cortex XDR アンチエクスプロイトプロテクションを有効にします
アンチマルウェアプロテクションを有効にします
防衛回避 正当な名前または場所との一致[T1036.005]
(マスカレード[T1036])
Cortex XDR Restrictionセキュリティプロファイルを構成します
レジストリの変更[T1112] Cortex XDR マルウェアセキュリティプロファイルでBehavioral Threat Protection(BTP)を設定します
ソフトウェアパッキング[T1027.002]
(難読化されたファイルまたは情報[T1027])
WildFire WildFireファイルサイズのアップロード制限が最大化されていることを確認します
WildFireファイルブロックプロファイルのすべてのアプリケーション、ファイルタイプについて、転送が有効になっていることを確認します
すべてのセキュリティポリシーでWildFire分析プロファイルが有効になっていることを確認します
復号したコンテンツのWildFireへの転送が有効になっていることを確認します
すべてのWildFireセッション情報設定が有効になっていることを確認します
WildFireによって検出された悪意のあるファイルに対するアラートが有効になっていることを確認します
「WildFireの更新スケジュール」が毎分ごとに更新をダウンロードしてインストールするように設定されていることを確認します
Cortex XDR アンチエクスプロイトプロテクションを有効にします
認証情報アクセス Webブラウザからの資格情報[T1555.003]
(パスワードストアからの資格情報[T1555])
Cortex XDR Restrictionセキュリティプロファイルを構成します
ファイル内の資格情報[T1552.001]
(セキュリティで保護されていない資格情報[T1552])
Cortex XDR アンチエクスプロイトプロテクションを有効にします
アンチマルウェアプロテクションを有効にします
Restrictionセキュリティプロファイルを構成します
収集 ローカルシステムからのデータ[T1005] Cortex XDR マルウェアセキュリティプロファイルのアクションでBehavioral Threat Protection (BTP)を構成します
アンチエクスプロイトプロテクションを有効にします
アンチマルウェアプロテクションを有効にします
コマンド&コントロール DNS [T1071.004]
(アプリケーションレイヤプロトコル[T1071])
次世代ファイアウォール untrustゾーンからより信頼できるtrustゾーンへのトラフィックを許可する場合は、アプリケーションのセキュリティポリシーが存在することを確認します
トラフィックを許可するセキュリティポリシーでサービスに「any」が設定されているものがないことを確認します
信頼された脅威インテリジェンスソースのIPアドレスとの間のすべてのトラフィックを拒否する「セキュリティポリシー」が存在することを確認します
脅威防御† imap、pop3を除くすべてのデコーダでアンチウイルスプロファイルがブロックに設定されていることを確認します
セキュアなアンチウイルスプロファイルが関連するすべてのセキュリティポリシーに適用されていることを確認します
アンチスパイウェアプロファイルが、すべてのスパイウェアの重大度レベル、カテゴリ、および脅威をブロックするように構成されていることを確認します
使用中のすべてのアンチスパイウェアプロファイルでDNSシンクホールが構成されていることを確認します
使用中のすべてのアンチスパイウェアプロファイルでパッシブDNSの監視が有効に設定されていることを確認します
インターネットへのトラフィックを許可するすべてのセキュリティポリシーに、安全なアンチスパイウェアプロファイルが適用されていることを確認します
DNSセキュリティ
アンチスパイウェア プロファイルでDNSセキュリティを有効にする
URLフィルタリング
URLフィルタリングが使用されていることを確認します
URLフィルタリングがURLカテゴリに「ブロック」または「オーバーライド」のアクションを使用していることを確認します
すべてのURLへのアクセスがログに記録されていることを確認します
すべてのHTTPヘッダーログオプションが有効になっていることを確認します
インターネットへのトラフィックを許可するすべてのセキュリティポリシーで安全なURLフィルタリングが有効になっていることを確認します
Cortex XSOAR XSOARのプレイブックをデプロイ – Block IP
XSOARのプレイブックをデプロイ – Block URL
XSOARのプレイブックをデプロイ – Hunting C&C Communication Playbook (Deprecated)
データの漏出 C2チャネル経由のデータ漏出[T1041] 次世代ファイアウォール untrustゾーンからより信頼できるtrustゾーンへのトラフィックを許可する場合は、アプリケーションのセキュリティポリシーが存在することを確認します
トラフィックを許可するセキュリティポリシーでサービスに「any」が設定されているものがないことを確認します
信頼された脅威インテリジェンスソースのIPアドレスとの間のすべてのトラフィックを拒否する「セキュリティポリシー」が存在することを確認します
脅威防御† imap、pop3を除くすべてのデコーダでアンチウイルスプロファイルがブロックに設定されていることを確認します
セキュアなアンチウイルスプロファイルが関連するすべてのセキュリティポリシーに適用されていることを確認します
アンチスパイウェアプロファイルが、すべてのスパイウェアの重大度レベル、カテゴリ、および脅威をブロックするように構成されていることを確認します
使用中のすべてのアンチスパイウェアプロファイルでDNSシンクホールが構成されていることを確認します
使用中のすべてのアンチスパイウェアプロファイルでパッシブDNSの監視が有効に設定されていることを確認します
インターネットへのトラフィックを許可するすべてのセキュリティポリシーに、安全なアンチスパイウェアプロファイルが適用されていることを確認します
DNSセキュリティ
アンチスパイウェア プロファイルでDNSセキュリティを有効にする
URLフィルタリング
URLフィルタリングが使用されていることを確認します
URLフィルタリングがURLカテゴリに「ブロック」または「オーバーライド」のアクションを使用していることを確認します
すべてのURLへのアクセスがログに記録されていることを確認します
すべてのHTTPヘッダーログオプションが有効になっていることを確認します
インターネットへのトラフィックを許可するすべてのセキュリティポリシーで安全なURLフィルタリングが有効になっていることを確認します
Cortex XSOAR XSOARのプレイブックをデプロイ – Block IP
XSOARのプレイブックをデプロイ – Block URL
XSOARのプレイブックをデプロイ – Hunting C&C Communication Playbook (Deprecated)
XSOARのプレイブックをデプロイ - PAN-OS Query Logs for Indicators
影響 影響を与えるために暗号化されたデータ[T1486] Cortex XSOAR XSOARのプレイブックをデプロイ - Ransomware Manual for incident response
システムの復元禁止[T1490] Cortex XDR アンチエクスプロイトプロテクションを有効にします
アンチマルウェアプロテクションを有効にします
マルウェアセキュリティプロファイルでBehavioral Threat Protection(BTP)を設定します
Cortex XSOAR XSOARのプレイブックをデプロイ - Palo Alto Networks Endpoint Malware Investigation
サービス停止[T1489] Cortex XDR アンチエクスプロイトプロテクションを有効にします
アンチマルウェアプロテクションを有効にします

表2 RyukとTrickbotに対する行動方針

これらの機能は次世代ファイアウォールのサブスクリプションサービスの一部として提供されている

結論

Ryukランサムウェアの感染は、TrickbotやBazaLoaderなどのマルウェアによる多段階脅威活動の結果として起こることがよくあります。バックドアマルウェアが確立されると、攻撃者はPowerShellやCobaltStrikeなどのツールを使用してリモートから接続し、最初の感染から数週間から数か月後に、侵害システムにRyukをドロップします。

米国政府は、この脅威活動をヘルスケア、公衆衛生セクタ業界に対する差し迫った脅威と見なしています。

本脅威評価と上記共同サイバーセキュリティアラートに関連する指標は、こちらのGitHubから利用可能です。Unit 42のTAXIIフィードにも公開済みで、ATOMビューアで表示できます。
https://unit42.paloaltonetworks.com/atoms/ryuk-ransomware/

https://unit42.paloaltonetworks.com/atoms/trickbot/

パロアルトネットワークス次世代ファイアウォールのWildFireを含むセキュリティサブスクリプションは、TrickbotとRyukに関連するアクティビティを検出します。Cortex XDRもアンチランサムウェアモジュール、アンチマルウェアモジュールを備えています。これらのモジュールは、ランサムウェアなどの悪意のあるファイルの振る舞いに関連した暗号化関連アクティビティを対象にしています。さらに、AutoFocusをご利用中のお客様は、次のタグを使用して本脅威に関連するアクティビティを確認できます: RyukTrickbotBazaLoader

パロアルトネットワークスは本稿で見つかったファイルサンプルや侵害の兆候などをふくむ調査結果をCyber Threat Alliance(CTA サイバー脅威アライアンス)のメンバーと共有しました。CTA のメンバーはこのインテリジェンスを使用して、お客様に保護を迅速に提供し、悪意のあるサイバー攻撃者を体系的に阻害することができます。Cyber Threat Allianceの詳細については、次のWebサイトをご覧ください: www.cyberthreatalliance.org

追加資料