グループポリシーを利用したランサムウェア拡散

暗号化型ランサムウェア「LockBit 2.0」は、ドメインコントローラーを乗っ取り、そこで作成したグループポリシーを通じてローカルネットワーク内に拡散します。

ランサムウェアの作成は、ある時期からアンダーグランド産業と化しました。そこではテクニカルサポートの提供があり、広報窓口が設置され、広告キャンペーンが展開されています。他の産業と同様、競争力のある「製品」を作り出すには継続的な改良が必要です。例えばLockBitグループは、ドメインコントローラーを通じたローカルコンピューターへの感染を自動化したことを宣伝しています。

LockBitは、自分の顧客(実際の攻撃者)にインフラとマルウェアを提供し、支払われた身代金の一部を受け取る、Ransomware as a Service(RaaS)モデルを採用しています。標的ネットワークへの侵入は契約者側の責任です。LockBitは、ネットワーク上でのランサムウェア拡散に関し、かなり興味深いテクノロジーを使用しています。

ランサムウェア「LockBit 2.0」の拡散

Bleeping Computerは、ランサムウェアLockBit 2.0を使った攻撃について解説しています。それによると、攻撃者は、ネットワークへのアクセス権を手にしてドメインコントローラーに到達した後、ネットワーク上でLockBit 2.0を実行し、ユーザーのグループポリシーを新規作成してネットワーク上の各デバイスへ自動プッシュします(英語記事)。これらのポリシーは、まずはOS内蔵のセキュリティメカニズムを無効化します。続いて別のポリシーが、ランサムウェアの実行ファイルを起動するスケジュールされたタスクをWindowsコンピューター上に作成します。

Bleeping Computerにて引用されているリサーチャーのVitali Kremez氏の言によると、このランサムウェアはWindowsのActive Directoryを使用してLightweight Directory Access Protocol (LDAP)クエリを実行し、コンピューターのリストを入手します。続いて、暗号化されるコンピューター上で警告が発動しないように、ユーザーアカウント制御(UAC)を回避してサイレントに実行します。

LockBit 2.0は、グループポリシー経由の拡散を自動化した史上初のランサムウェアであるようです。LockBit 2.0はさらに、ネットワークに接続する全プリンターから身代金要求メッセージを印刷するという特徴を示しています。

同様の脅威からコンピューターを守るには

ドメインコントローラーは実際にはWindowsサーバーであり、保護が必要です。Kasperskyのエンドポイント向けセキュリティソリューションのほとんどには、Windowsが稼働するサーバーを保護するKaspersky Security for Windows Serverが付属しています。

グループポリシーを通じて拡散するランサムウェアは、攻撃の最終段階です。悪意ある活動はもっと前の段階で明らかになっているはずです。例えば攻撃者が最初にネットワークへ侵入したとき、またはドメインコントローラーを乗っ取ったときです。このタイプの攻撃の兆候を検知するのには、Managed Detection and Response(MDR)ソリューションが特に効果的です。

何よりも重要なのは、サイバー犯罪者がソーシャルエンジニアリングやフィッシングメールを使って初期アクセスを試みる場合がしばしばである点です。従業員がこのような手口に引っかかることがないように、定期的なトレーニングによってサイバーセキュリティに関する意識の向上を継続的に図ることをお勧めします。

ヒント