内部協力者を探すランサムウェア攻撃者

ランサムウェア身代金の分け前と引き換えに自社サーバーの暗号化に応じる内部協力者を、ランサムウェア攻撃者が探しています。

ランサムウェアが企業ネットワークへ入り込む一般的な経路は、メール、ソフトウェアの脆弱性、保護されていないリモート接続です。社内の人間が意図的にマルウェアを仕掛けるというシナリオは、一見ありそうもない話ですが、現実には、この手の方法が効果的だと考える攻撃者がおり、身代金の分け前を提示して企業の従業員を募集する動きがあります(英語記事)。

クリエイティブなランサムウェア拡散手口

嘘のような話ですが、スパムメールを通じて協力者を募るサイバー犯罪者は存在します。例えば、とあるメールでは、ランサムウェアDemonWareを自社のメインのWindowsサーバーにインストールして拡散させてくれたら「(獲得予定の身代金の)40%、ビットコインで100万ドル相当」を支払う、とストレートに提示しています。

この話に興味のあるふりをしてリサーチャーたちがコンタクトしたところ、マルウェアの起動手順とファイルへのリンクが送られてきました。メールの送り手は経験の浅いサイバー犯罪者であったと見え、リサーチャーとのやりとりに問題なく応じました。この人物はナイジェリア人の若者で、上級管理職の人とコンタクトしようとLinkedInを探し回っていたとのことでした。当初はマルウェアをメールで送ろうとしましたが、企業のサイバーセキュリティシステムが強固なことを知ってプランを変更したということです。

この手口の欠点

この人物は、共謀者を安心させるために、ランサムウェアが犯罪の証拠をすべて(サーバー上のCCTVファイルも)消去すると述べ、念のため実行ファイルを削除するようにと勧めてきました。この人物は共謀者をだまそうとしていたのかもしれません。実際に事に及んだ場合、この首謀者は、サーバーが暗号化された後に共謀者の身に何が降りかかっても気にしなかったでしょう。しかし、デジタルフォレンジックがどのように実施されるかについては、理解していなかったようです。

DemonWareを使うことにした点も、この人物の経験不足を示しています。確かにDemonWareはサイバー攻撃に使われますが、これはあまり高度なマルウェアではなく、ソースコードはGitHub上で見つかります。このマルウェアは、ランサムウェアの記述がいかに簡単かを示すために作られました。

安全のために

この話はここまでですが、ランサムウェア攻撃への内部関係者の関与は現実的な話です。とはいえ、ネットワーク内で誰かがマルウェアを実行することよりも、誰かが会社の情報システムへのアクセス権を売ることのほうがありそうです。

企業ネットワークへのアクセス権を扱う市場は、ダークWeb内に以前から存在します。ランサムウェアを使用する人々は、しばしば別のサイバー犯罪者(いわゆる「初期アクセスブローカー」)からアクセス権を購入します(英語記事)。組織のネットワークまたはクラウドサーバーへリモートアクセスする際に必要なデータに対して特に興味を示すのは、初期アクセスブローカーたちです。こういったデータの買い取りに関する広告は、ダークWeb界隈にいる社内の不満分子や会社を首になった人々が対象になっています。

誰かがランサムウェア攻撃者を自社ネットワークに引き込んで企業のセキュリティを危うくさせられることにないように、以下の対策を推奨します。

  • 権限は最低限とする。
  • 組織のネットワークおよびサーバーに対するアクセスの試みは注意深く記録し、社員が退社した場合はすぐにアクセス権を取り消してパスワードを変更する。
  • 各サーバーに、最新マルウェアに対抗できるようなセキュリティソリューションをインストールする。
  • 攻撃者が深刻な損害を与える前に、自社インフラ内での疑わしいアクティビティを突き止めることが可能なManaged Detection and Response(MDR)ソリューションを使用する。
ヒント

Windows Downdate攻撃から身を守る方法

Windows Downdateは、最新バージョンのOSを古いバージョンにロールバックさせ、脆弱性が残る状態を復活させ、攻撃者がシステムを容易に侵害できるような状態にする攻撃です。この攻撃のリスクを低減するにはどうしたらよいでしょうか?