MountLockerランサムウェアは攻撃がどのように進化しているかを示している
トピック: ランサムウェア対策
2020年12月14日、Mike Vizard
さまざまなデータタイプに対する攻撃をさらに高い頻度で実行する攻撃者が比較的新しい形態のMountLockerランサムウェアを急激に悪用していると思われます。
BlackBerryのResearch and Intelligence Teamが発表したレポートによると、先月、軽量なMountLockerランサムウェアは、ファイルタイプの標的を拡大し、セキュリティソフトウェアをさらに巧妙にバイパスするように、更新されました。
攻撃者はMountLocker(サイズ100Kb未満)をAdFind(ネットワーク偵察を実行)、Cobalt Strikeビーコン(インストール後にマルウェアを拡散)などのマルウェアと組み合わせています。
MountLockerはChaCha20アルゴリズムによってファイルを暗号化できるRaaS(Ransomware-as-a-Service)プラットフォームで配信されます。一方、ファイル暗号化鍵はRSA-2048暗号化方式によって暗号化されます。上記のレポートによると、通常、MountLockerを悪用する攻撃のほとんどは、RDP(リモートデスクトッププロトコル)に基づくITツールを悪用しており、盗み出された認証情報でこのツールにアクセスしています。このような認証情報は、フィッシング攻撃で盗み出されたか、ダークWebで購入された可能性が非常に高いです。
BlackBerryのセキュリティ部門のレポートによると、MountLockerには鍵の回復とデータの復号化を簡単に行うことができる些細な弱点はありません。しかし、MountLockerは攻撃を受けやすい可能性があるセキュアではない暗号化鍵の作成方法を使用しています。
上記のレポートによると、攻撃者は、MountLockerを悪用して、機密データを暗号化する前に、FTP(ファイル転送プロトコル)で流出しています。つまり、この攻撃ベクタを悪用する攻撃者は、企業がランサム(身代金)の要求に応じないかぎり、機密データを公開すると脅迫しているということです。実際、最近のレポートによると、ファイルの復号化に必要な鍵を提供するために要求されるランサムの金額は着実に増加しています。CrowdStrikeが発表したレポートによると、調査された攻撃のうち金銭的動機によると見なされたものの81%はランサムウェア攻撃またはその前兆に関連しています。
進化するランサムウェア攻撃に常に対処する
ランサムウェアを配信する方法と攻撃者にかかわらず、ランサムウェアは大規模ビジネスになっています。このような攻撃を完全に防止する方法がない中では、重要なファイルが突然暗号化された場合も、企業が確実に回復できるデータの元のコピーを所有していることは、これまで以上に重要になっています。企業は、常に進化していると思われるランサムウェア攻撃を排除できないため、リカバリプロセスの自動化をさらに重視し始めています。このため、セキュリティとバックアップおよびリストアの関係は、ますます緊密になっています。Black Hat Europeのオンラインカンファレンスで行われた最近のセッションでは、ランサムウェア攻撃がどのように急増しているかだけでなく、ランサムウェア攻撃を実行する攻撃者が、APT(持続的標的型攻撃)関連の攻撃を実行する攻撃者が開発した技術を悪用しているため、企業ネットワークにさらに迅速にアクセスしていることが説明されていました。
もちろん、攻撃者のランサムの要求に屈することは、まったく賢明ではありません。企業がランサムの要求に応じた後も、攻撃者のほとんどはわざわざ流出したデータを売却する可能性が高いです。とはいえ、ランサムを支払うことは再び攻撃を実行するために必要なリソースを攻撃者に提供することでしかないにもかかわらず、さまざまな理由によって、データを回復するためにランサムを引き続き支払う個人と企業は多いです。
「大義」のためにランサムを支払うことを違法とする法律が制定されないかぎり、企業は可能なかぎり長期にわたってランサムを引き続き支払うと思われます。
原文はこちら:
MountLocker ransomware illustrates how attacks are evolving
December 14, 2020 Mike Vizard
https://blog.barracuda.com/2020/12/14/mountlocker-ransomware/