脅威リサーチ

アフィリエイト向けマニュアル:Contiが直接教えるその攻撃の手法

投稿者 Val Saengphaibul | 2021年8月18日

FortiGuard Labs Threat Research Report

ランサムウェア は2021年前半、メディアの見出しを独占してきました。Colonial Pipeline(コロニアルパイプライン)に対する攻撃(Darkside)は、米国東海岸の石油とガソリンの供給を混乱に陥れました(停止を余儀なくされたのは皮肉にも供給を制御するOTデバイスではなく課金システムでした)。ブラジルのJBS Foodsへの攻撃(REvil)では、世界的な肉不足が懸念されました。また、マネージドサービスプロバイダーのKaseya VSAを標的にしたランサムウェア(REvil)によるサプライチェーン攻撃は、同社の顧客にまで被害が及びました。

サイバー攻撃者の「戦術、技術および手順(TTP)」は、これらの攻撃の前にインシデント対応チームによるフォレンジック分析やマルウェア自体の静的分析によって発見されていました。しかし、今回、Contiグループに不満を持つ同グループの自称「ペンテスター」によってさまざまな内部情報が流出しました。流出した情報にはパスワードで保護されたzipファイル、作業の手順を記した文書、グループがアフィリエイト向けに作成したその他の参照用ファイルが含まれています。この流出によって、アフィリエイトの観点からランサムウェア攻撃の手法を垣間見ることができます。

Contiランサムウェアグループは1年以上に渡ってRaaSを運営し、複数の攻撃に関与しています。たとえば、最近アイルランド国営医療サービスを大混乱に陥れた攻撃なども含まれます。この攻撃ではサービスが停止し、データベースサーバー(SQL)と700GBを超えるPII(個人情報)がダウンロードされ、脅威アクターに盗まれました。その特徴は身代金の要求だけでなく、重要なデータを窃取した証拠を使って恐喝も行われる点にあります。

以下では、『CobaltStrike Manuals_V2ActiveDirectory』というタイトルのContiのサポートマニュアルを分析し、このマニュアルで観察された興味深い点を取り上げています。流出したファイルや文書はほかにもありますが、このサポートマニュアルには「アフィリエイト」に関する情報が含まれており、RaaSの世界を垣間見ることができます。

このブログでは主に以下について説明します。

  • ランサムウェア組織がアフィリエイトに提供していた実際の文書とサポート
  • 最近開示された脆弱性(このマニュアルがかなり新しいことを示唆)
  • 初期段階から最終的なランサムウェア展開までに使用するツール、手法、攻撃の概要など、ContiランサムウェアグループのTTPを含む攻撃戦略

約10年の歴史を持つランサムウェア

現在の形式のランサムウェア(画面のロック、暗号通貨での支払いなど)は10年ほど前から存在していますが、現在もメディアを賑わせています。最初の大規模なランサムウェア攻撃では標的の画面に警察のロゴ(標的の地域の警察)が表示され、プリペイドクレジットカードでの支払いが要求されました(Reventon-2012年)。その後、ビットコイン暗号通貨で支払いが行われるようになり(Cryptolocker-2013年)、現在はRaaS(GandCrab-2018年)が多く見られるようになりました。それでもまだトップニュースになっているのはなぜでしょう。

それは、攻撃が大胆になったからで、その標的と被害はますます注目されるようになりました。無作為かつ無差別な個人とそのマシンを標的とする従来の攻撃に加え、大規模な組織とその環境全体を標的とする攻撃が増え、大きな混乱を引き起こしています。また、低レベルの犯罪者によるスピアフィッシングや海賊版ソフトウェアを悪用した基本的なソーシャルエンジニアリングであったその手法は洗練され、新しい高度な戦略では、脅威アクターが標的のネットワークに侵入し、ランサムウェア攻撃を開始するまで数ヵ月も検出されません。

もう1つの要因は新しいRaaSモデルです。この成熟した戦略では、マルウェアを開発した組織ではなく、選ばれた「アフィリエイト」が攻撃を実行します。フランチャイズモデルのように、アフィリエイトは多額の身代金を稼ぎ、その一部をランサムウェアの開発者に支払います。開発者は利用者を増やすことで収益が得られ、自ら攻撃する必要がないため、サービスの改善に時間をかけることができます。また、アフィリエイトが増加すれば、攻撃の回数と規模も必然的に増加します。研究者のレポートによると、2020年にはランサムウェア攻撃だけでも150%以上増加し、攻撃者は3億5,000万ドル以上を獲得しています。1,2

[1] Group-IB: ransomware empire prospers in pandemic-hit world. Attacks grow by 150% https://www.group-ib.com/media/ransomware-empire-2021/

[2] Ransomware Skyrocketed in 2020, But There May Be Fewer Culprits Than You Think https://blog.chainalysis.com/reports/ransomware-ecosystem-crypto-crime-2021

フォレンジック分析によると、攻撃者は事前にネットワークに侵入し、数週間から数ヵ月も潜伏して攻撃の準備をすることもあります(新たに開発されたZerologon(CVE-2020-1472)では興味深いことに、潜伏期間は数時間に短縮しています)3。しかし、これまではアフィリエイトが使用する攻撃の手法についてはあまり研究されていませんでした。単純にペネトレーションテストの方法論に精通し、攻撃に熟練していると考えられていました。また、一部のランサムウェアギャングがアフィリエイトの高度な攻撃をサポートしていると聞いたことはありましたが、どの程度サポートしているかはわかりませんでした。

アフィリエイト向けマニュアル

[3] https://threatpost.com/ryuk-ransomware-gang-zerologon-lightning-attack/160286/

図1:アフィリエイトに向けた標的の収益の調査に関するガイダンスとCobalt Strikeの使用方法の説明

マニュアルを簡単に分析したところ、上記のようにContiランサムウェアグループの攻撃の手順が詳細に記述されていました。『CobaltStrike Manuals_V2 Active Directory』というタイトルのこの文書には、攻撃者が侵入後に使用する合法ツールであるCobalt Strikeの使用(誤用)方法に加え、他のノウハウやアドバイスも含まれています。

図1を見ると、Owler、Manta、Zoominfo、DNB、RocketReachなどの公開されているデータを使用して収益を確認できる企業を検索するようアフィリエイトに提案しています(緑色のハイライト部分)。また、会社の収益を判断するための検索エンジンのクエリ(「site:XYZ.com revenue」など)も紹介しています。この情報は、あまり知られていない組織の財源を評価したり、組織が支払える金額を判断したりするために使用されます。

また、アフィリエイトが標的のWindowsドメインコントローラとリバースシェルや永続的な接続を確立すると、作業に関する情報も提供されます。それにはすべてのドメインコントローラ、ローカル管理者、ドメイン管理者、エンタープライズ管理者、ネットワーク内の既知のドメインコンピュータの一覧を作成する方法、すべてのホストにpingを実行する方法などの説明も含まれています。このトラバーサル攻撃に必要な情報を入手したアフィリエイトには、PowerShellでペイロードを展開する方法が提供されます。 

図2:アフィリエイトに必要なデータの説明(原文のまま)

上記のテキスト(図2)は、アフィリエイトにさまざまなコンテナにアクセスして以下のデータを特定するように指示しています。

  • 会計
  • 顧客
  • 財務 
  • IT
  • プロジェクト

このほかにも、エクスプロイト後のペネトレーションテストツールの使用方法のほか、ドメインコントローラのパスワードの傍受とブルートフォース攻撃のための多様なオープンソースツールの使用方法なども説明しています。次のセクションでは、このマニュアルを機械翻訳して特定されたContiのオープンソースのさまざまなツールについて説明します。

Kerberoast 

Kerberoastとは、Kerberosで暗号化されたパスワードのハッシュをブルートフォース攻撃で復号しようとするドメインコントローラへの攻撃です。ハッシュを復号するとパスワードはクリアテキストになり、攻撃者は環境の奥深くまで移動し、侵害した上位の管理者アカウントを利用してアカウントを追加できるようになります。Kerberoastを実行するアフィリエイトには「Invoke-Kerberoast.ps1」というもう1つのツールの使用が推奨されています。これは、@harmj0yが管理するオープンソースのPowerShellスクリプトで、Githubで入手できます。powershell-importコマンドを使用してCobalt Strike Beaconにロードします。

ちなみに、このマニュアルは、さらなるブルートフォース攻撃によって管理者パスワードを取得することを最終目標としています。

MimiKatz

このマニュアルには、Mimikatzの簡単な概要に加え、メモリやKerberosチケットなどからパスワードを抽出するための便利なコマンドラインも記載されています。MimiKatz / CobaltStrikeを組み合わせた使用例の説明もあります。

また、Pass the Hash / NTLM、lsassの読み取り、procdump、その他のエクスプロイト後の手法についても説明しています。以下のスクリーンショットは、Zerologon(CVE-2020-1472)の脆弱性の悪用に関する説明ですが、この部分を見ると、この文書が最近の作成されたことがわかります。

図3:MimikatzとZerologon(CVE-2020-1472)を組み合わせたローカルドメインコントローラへの攻撃の例注:contoso.comは架空の組織で、Microsoftのローカルドメインのトレーニング資料でのみ使用されています。

SMBAutoBrute

このマニュアルには、オープンソースツールのSMBAutoBruteの使用に関するガイダンスも記載されています。Githubのこのツールのページによると、ペンテスターは現在のドメインに対してアカウントのブルートフォース攻撃を実行でき、ロックアウトを回避できます。ちなみに、Sentinel Oneの研究者は、2020年6月のTrickbotとRyukの脅威アクターの分析で、Cobalt Strike内でSMBAutoBruteが使用されていたことを強調しています。4

このマニュアルでは使用方法のほかに、以下の図4のようなガイダンスも提供されます(ロシア語から機械翻訳)。

ブルートフォース攻撃に使用できるパスワードが少ない場合は、企業の環境で機密性の最も高いデータによく使われる以下のリストで補ってください。

Password1

Hello123

password

Welcome1

banco @ 1

training

Password123

job12345

spring

food1234

また、月と現在の年数に基づいたパスワードのリストを使用することも推奨します。パスワードは3ヵ月に1回変更されるため、「予約」のように3ヵ月分を作成します。

[4] Inside a TrickBot Cobalt Strike Attack Serverhttps://labs.sentinelone.com/inside-a-trickbot-cobaltstrike-attack-server/

たとえば、2020年8月の場合、以下のようなリストを作成します。

June2020

July2020

August20

August2020

Summer20

Summer2020

June2020!

July2020!

August20!

August2020!

Summer20!

Summer2020! 

上記のパスワードはすべて、Active Directoryのパスワードの4つの要件のうち3つ(ユーザーのパスワード設定に必要)、または4つすべてを満たしています。

最も一般的な要件を考慮します。

図4:脅威アクターが提案した月などの使用の例



以下の例では、AdminとCiscoDirSvcsのアカウントが「1qazXDR%」をパスワードに使用しているのを特定するのに成功しています。これはよく使用されるパスワードで、キーボードを見るとV字型になっています。

6. スクリプトの進行状況を確認し、結果を確認します。

Success! Username: Administrator. Password: 1qazXDR% +

Success! Username: CiscoDirSvcs. Password: 1qazXDR% +

2人のドメイン管理者を特定しました。

ユーザーのリストを指定しないシナリオは2つの点でのみ異なります。

psinject 4728 x86 Invoke-SMBAutoBrute -PasswordList "Password1, Welcome1, 1qazXDR% +" -LockoutThreshold 5

図4b:脅威アクターが提案した月などに基づいたパスワードの例



上記の例から、ペネトレーションテストを担当しているか、少なくともペネトレーションテストに精通しているギャングが自身の経験に基づいてアフィリエイトに有益なアドバイスを提供しようとしていることがわかります。

以下の例は、すでにギャングの犠牲になっていると思われる大手建設会社のドメインコントローラの情報を示しています。このマニュアルでは、アフィリエイトに以下のパラメータを検索するよう説明しています。

ロックアウトしきい値: Never                                                  

ロックアウトしきい値を「Never」に設定すると、設定された試行回数を超えてもアカウントはロックされません。

ドメイン管理者の場合のシナリオ

                      コマンドを使用してドメイン管理者のリストを収集します。

shell net group "domain admins" / dom

受信したデータをadmins.txtファイルに書き込みます。

2. ホスト上のファイルをフォルダCに入力します。 \ ProgramData

3. ドメインアカウントのブロックポリシー(ブルートフォース攻撃に対する保護)に関する情報を要求します。

beacon> shell net accounts / dom

 

Beaconがタスクを実行:net accounts / dom

ホームというホスト、送信:48バイト

受信した出力:

 

リクエストはドメインのドメインコントローラで処理されます。

construction.com(匿名性のためURLの一部を削除)

ユーザーを強制的にログオフさせる時間数:Never      

  パスワードの最小使用期間(日数):1                                

   パスワードの最大使用期間(日数):42                               

  パスワードの最小文字数6                                     

パスワード履歴の保存期間:24                

  ロックアウトしきい値:Never                                                    

  ロックアウト期間(分数):30                                    

  ロックアウト観察期間(分数):30                 

  コンピュータの役割:バックアップ           

図5:ユーザー強制ログオフモジュールのその他の内容

最近の脆弱性の悪用

ZerologonとPrintNightMare

Zerologonと呼ばれるCVE-2020-1472 (Netlogonの特権昇格)、別の特権昇格CVE-2021-1675とそれに関連するPrintNightmareと呼ばれるCVE-2021-34527が記載されていることから、このマニュアルが最近のものであることがわかります。最近作成または更新されたということです。参考までに、CVE-2020-1472では、ネットワークアクセスを持つ攻撃者が認証を受けずにドメインコントローラのActive DirectoryのIDサービスを侵害することができます。

以下の引用は、2021年7月のMicrosoft Windows Print Spoolerの脆弱性に関連するこれら2つの脆弱性の悪用についての説明です。基本的に、これらの脆弱性によって、感染したPrint Spoolerサービスを実行しているクライアントまたはサーバーマシンを通常のユーザーアカウントが完全に乗っ取ることができます。スコープは似ていますが、1675はローカル、34527はリモートで攻撃できます。以下の引用は、Githubで入手したCobaltStrikeにロードするPowerShellスクリプトの使用について説明しています。脅威アクターはGithubのURLも提供しています。

7. PrintNightmare

新しい脆弱性ですが、すでに注目を集めています。シャットダウンするまで使用します。CVE -2021-34527ではローカル管理者を作成できます。これはエージェントが単純なユーザー権限の場合に使用します。

エージェントで以下を実行:

powershell- import // import the file CVE-2021-34527.ps1

powershell Invoke-Nightmare -NewUser "HACKER" -NewPassword "FUCKER" -DriverName "Xeroxxx" // create user HACKER with passord FUCKER, add to localadmins

spawnas COMPNAME \ HACKER FUCKER httpsの代わりに https // リスナー名。新しいローカル管理者でエージェトを作成します。SYSTEM*でエージェントを作成できることもあります。インポートの後で以下を実行します。

Invoke-Nightmare -DLL "\ polniy \ put \ do \ payload.dll"

図6:CobaltStrikeのPowerShellのインポートを介してPrintNightMareを使用

MS17-010(EternalBlue)の活用

このマニュアルではEternalBlue(CVE-2017-143から148)についても説明しています。EternalBlueはMicrosoft Windows SMBサーバーのエクスプロイトに使用されていましたが、本来はNSAが利用していたMicrosoft Windowsのゼロデイ脆弱性のことです。このゼロデイ脆弱性は2017年、ShadowBrokersによってNSAから流出しました。Shadow Brokers(ロシアに非公式に関係する秘密のグループ)による流出後、WannaCry、Petya、NotPetyaなどに悪用されています。

2017年5月にMicrosoftがパッチを適用したにもかかわらず、このセクションはパッチが適用されていないWindows OSに言及しているため、Contiギャングが知られるかなり前に書かれたものと思われます。そのため、このセクションが別の情報源からコピーアンドペーストしたか、このグループの前身が作成した文書を更新しないまま再利用している可能性があります。

8 . ms17_010

Windows XPおよび2003 - ms17_010パッチは適用されていません。

Windows 7、8、10、2008、2012、2016 - パッチを適用できないため脆弱です。これらへの攻撃では、攻撃の成功率を高めるためにユーザーのドメインのログインとパスワードを指定します。

 

削除したAD、pingを実行したIPアドレス。

IPアドレスはスペースで区切って1行に記述します。

 

1.Cobalt Strikeでのプロキシの起動:

Cobalt Strikeコンソールでコマンドを入力:

図7:かなり前に作成されたことを示唆するEternalBlueに関する記述

 

導入を推奨するエージェント

図8:リモート管理ソフトウェアのリスト(AnyDesk、Atera)

上記の引用はCobalt Strike Beacon内でのMimikatzの使用方法を示しています。ハッシュ化されたドメインコントローラのパスワードをNTDS.dlt(ADデータファイルとパスワードを記録)を使用してダンプします。その後、以下に示すように、放置されたすべてのホストにAnydeskをインストールし、残りのホストにAteraをインストールするようアフィリエイトに指示しています。

図9:Anydeskおよびその他のエージェントのインストールの手順(ロシア語からの機械翻訳)

アフィリエイトが以下のフラグを展開に使用できるように手順を詳細に説明しています。

--start-with-win – silent

AnyDeskのWebサイトによると、

「–start-with-win」フラグはWindowsでAnyDeskを起動するのに使用します(リモートの再起動などに必要)。

「–silent」フラグを使用すると、インストール後にAnyDeskが起動せず、エラーメッセージも表示されません。

後半のプロセス

ネットワーク接続ストレージやその他のバックアップデバイスを検出して侵入

このマニュアルでは、アフィリエイトにNetscanの使用を提案しています。それにより、バックアップディレクトリとネットワーク接続ストレージ(NAS)デバイスを簡単に検出できます。そうすると、より多くのデータを窃取でき、身代金を受け取る可能性も高くなります。このマニュアルでは、「財源」が隠れているディスクをサイズ別に表示することも提案しています。また、もうひとつのオープンソースのペネトレーションテストツールとしてRouterScanも推奨しています。これは、ルーター、Webカメラ、NAS、およびブルートフォース攻撃が可能なWebインターフェイスを備えたその他のデバイスなど、ネットワーク上にあるデバイスを検出するためのツールです。

図10:Netscanの使用の推奨と説明

窃取の準備

このマニュアルでは、窃取したデータの格納と保存のために、MEGA.ioアカウントを作成することを提案しています。このアカウントを作成するときに、暗号通貨で支払い、2TBプランを選択することも推奨しています。

図11:窃取したデータのアップロードのためのMEGAの利用の推奨と説明

流出の準備、保険の確認、ロックプロセス

MEGAのアカウントを作成したら、2021年の銀行取引明細書、会計報告、各種セキュリティドキュメント(レッドチームとブルーチームの情報)、サイバーセキュリティ保険契約の有無などの有益な情報を検索することをアフィリエイトに推奨しています。つまり、先ほど説明した「財源」になるデータです。そのようなデータを窃取したら、すぐに「データパック」を準備し、MEGAにバックアップを保存して、すべてのドキュメントのリストを作成します(窃取の証拠として使用)。RCloneツールを使用すると、大量のデータを自動で窃取する作業が簡略化されます。

データの窃取にはさまざまなメリットがあります。たとえば、標的の組織の内部情報を取得した証拠として利用すると、さまざまな交渉が行えます。

データパックの準備

TorusからMEGAに移動して、キーワードで検索します。2020~2021年の最新の会計報告と銀行取引明細書が必要です。

サイバー保険、セキュリティポリシー文書も重要です。

検索キーワード:

 

cyber

policy

insurance

endorsement

supplementary

underwriting

terms

bank

2020

2021

Statement

 

その他、財源になるすべてのデータを検索します。

データをダウンロードします。

すぐにデータパックを準備します。

Megaに情報のバックアップを保存します。

すべての情報の完全なリストを作成します!

図12:データパックの作成と検索するデータ

以下の引用は、ランサムウェアのロックプロセスの開始を示しています。この例では、Contiの脅威アクターがバッチファイルを使用してドメイン全体にファイルを展開しています。このマニュアルでは、Linuxの手順、既知と未知のドライブを特定するためのさまざまなフラグ、ESXiなどのVMwareサービスの無効化、シャドウコピーの削除、大量にロックする方法(ネットワーク上で特定されたすべてのコンピュータの暗号化)も説明しています。

図13a:ロックプロセスの設定

Linuxの新バージョンとVMwareを標的にするバージョン

Linux / Unixバージョン、およびVMWareを標的にしていると思われるバージョンのパスについても説明していますが、これは実際には観察されていません(REvilにはVMWareのESXi5を標的とするLinuxバリアントがあることは報告されています)。これは新しい機能か今後開発される機能と思われます。また、標的のマシンへのSSH接続が失敗した場合でも、暗号化プロセスを続行することも推奨しています。通常、Linux / Unix環境内でSSH接続が失敗すると、HUP(ハングアップ)信号が送信されてスクリプトが終了しますが、このマニュアルではそれを阻止する方法も考えられています。

Unixバージョンの起動パラメータ

--path

     このパラメータを使用すると、指定されたパスのファイルがロッカーによって暗号化されます。そのファイルがないと必須のパラメータではロックされません。

[5] Linux Variant of REvil Ransomware Targets VMware’s ESXi, NAS Devices https://threatpost.com/linux-variant-ransomware-vmwares-nas/167511/

./ encryptor --path / path

 

--prockiller

     ファイルを開くのを妨げるすべてのプロセスを強制終了します。

     ./ encryptor --path / path --prockiller

 

--log

     すべてのアクションとエラーのログを記録します。

     ./ encryptor --path / path --log /root/log.txt

 

- vmkiller(esxiのみ)

     すべての仮想マシンをシャットダウンします。

 

- vmlist (esxiのみ)

     シャットダウンしない仮想マシンのリストを保存したファイルを指定します。仮想マシン1台につき1行を使用します。

     ./ encryptor --path / path --vmkiller --vmlist /tmp/list.txt 

 

--detach

      ターミナルからプロセスを分離します。

sshセッションが失敗してもロッカーは引き続き機能します。

図13b:ロックプロセスの設定(LinuxとVMware)

アンチウイルスの無効化

Windows Defenderなどのビルトインのアンチウイルスツールの無効化に関する専用のセクションもあります。また、有名なウイルス対策製品に対処するヒントも提供しています。これは、バッチファイルとスケジュール設定したタスクによって展開します。

その他の興味深い項目

作業のセキュリティガイダンス(paranoid.txtの匿名性)

Contiグループは匿名性を維持するための作業のガイダンスも提供しています。匿名性を維持することの重要性を強調していますが、既知のサービスやテクノロジーを無効にすると攻撃者が検出される可能性が高くなるため、匿名性は必須ではないとも説明しています。また、有名なペネトレーションテスト用のLinuxオペレーティングシステムを使用せずに、一般的なものを使用するか、独自に開発することを推奨しています。

Пару замечаний к постам об анонимности для параноиков:

1. Задача не скрыться (всё равно не получится), а слиться с толпой. Так что отключив webrtc, Javascript, Flash и т.д. будите только больше внимания к себе привлекать. Нужно НЕ ОТКЛЮЧАТЬ, а ПОДМЕНЯТЬ то что позволяет вас обнаружить.

2. По поводу Kali и других ОС для хакеров. Вот есть группа людей (Хаккеров), которую нужно отследить. Технически эту задачу решить тяжело. Проще сыграть на человеческой слабости (лень) и собрать всех в кучу предоставив правильно разрекламированное, удобное, готовое и популярное решение. Думаю мысь понятна. Cоветую использовать Debian или собрать что-то свое.

Saint спаибо за материал, добавил NetScan в алгоритм

図14a:ロシア語による作業に関する注意事項

匿名性に関する注意事項

 1. 作業を隠すのではなく(実際に不可能)、群れに紛れ込むことです。webrtc、Javascript、Flashなどを無効にすると注意を引いてしまいます。必要なのは切断することではなく、検出される可能性のあるものを変更することです。

2. Kaliなどのハッカー向けオペレーティングシステムについて。追跡すべきグループ(ハッカー)がいます。技術的にはこの問題を解決するのは困難です。便利で人気のある既製のソリューションを適切に宣伝して提供すると、人間の弱さ(怠惰)を利用したり、人員を集めることが容易になります。アイデアは明確です。Debianを使用するか、独自に開発することを推奨します。
資料に従ってアルゴリズムにNetScanを追加しました

図14:作業上の注意(ロシア語から機械翻訳)

 

アフィリエイト向けマニュアルのまとめ

このマニュアルによって攻撃の手順は十分に文書化されていますが、内容の一部は編集または他から転用している可能性があり、古典的な70年代の『Anarchist Cookbook』の2000年版、Jolly Rogerの『The Anarchist Cookbook』を彷彿とさせます。ただし、文書の記述は決して不十分ではありません。たとえ編集や盗用したものであっても、違法行為に従事する脅威アクターが時間と労力を惜しまずにその手法を適切に文書化し、スキルや経験の劣るアフィリエイトに最初に必要な基本知識を提供しようとしたことは注目に値します。

もちろん、ランサムウェアギャングにとってそれはビジネスであり、競合他社が存在する以上、ランサムウェアを使いやすくすることは重要です。ビジネスでは市場シェアや使用頻度などを重視しますが、それと同様に、ランサムウェアも市場シェアと収益性を高めるためにアフィリエイトによる採用率を高める努力をしているのです。

フォーティネットのソリューション

FortiGuard Labsでは、既知のContiランサムウェアのサンプルキャンペーンに対して以下のアンチウイルスを提供しています。

W32/Conti.I!tr
W64/Filecoder_Conti.A!tr
W64/Conti.A!tr.ransom
W32/Filecoder_Conti.D!tr
W32/Conti.R!tr.ransom
W32/Conti.HLCT!tr.ransom
W32/Filecoder_Conti.R!tr
W32/Conti.L!tr.ransom
W32/Conti.N!tr.ransom
W64/Conti.M!tr.ransom

既知のネットワークIOCはすべてWebフィルタリングクライアントでブロックされます。

FortiEDRでは知識や特別な設定は不要です。箱から出してすぐにContiランサムウェア攻撃を検出してブロックできます。以下の図にように、攻撃者のTTPを実行前に特定できます。

FortiEDRでContiをブロックする方法の詳細については、 Knowledge Base の記事をご覧ください。

多くのContiアフィリエイトがAnyDesk、Atera、Splashtop、Remote Utilities、Screen Connectを使用して初期化し、永続的なネットワークアクセスを維持していることが確認されているため、ビジネス上の不都合がない限り、アプリケーションコントロールを使用して、これらのプログラムによるすべてのリモートアクセスの接続をブロックすることをお勧めします。

日常業務の中断や妨害、組織の評判、個人情報(PII)の漏えいなどに悪用されるのを防ぐには、すべてのAVとIPSの定義ファイルを最新の状態に保つ必要があります。

また、攻撃者がネットワーク内で足場を固めるのを防ぐために、すべての既知のベンダーの脆弱性に対処して更新することも重要です。攻撃者はパッチ適用の難しさを熟知しているため、それを悪用します。そのため、ネットワーク全体にパッチを適用できない場合は、リスクを評価し、ホットパッチなどの代替の保護を適用する必要があります。

また、継続的なトレーニングセッションを実施して、最新のフィッシング / スピアフィッシング攻撃についてスタッフを教育することも推奨されます。攻撃を識別すること、未知の送信元からの添付ファイルを決して開かないこと、未知の信頼できない送信者からのEメールの取り扱いには注意することなどを学習する必要があります。また、多くのランサムウェア攻撃にはソーシャルエンジニアリングが利用されるため、エンドユーザーは定期的なトレーニングセッションや組織のセキュリティ部門による所定のテンプレートを使用した即時テストを通じて、さまざまな攻撃が存在することを認識することが重要です。不正な添付ファイルやリンクが含まれるEメールを特定する方法など、簡単なトレーニングを通してユーザーの意識を向上させることもネットワークへの侵入を防止するのに役立ちます。