ランサムウェアグループRansomHubの新たな攻撃手法
サイバーセキュリティの世界では、攻撃者の手法は日々進化しています。最近、セキュリティ企業Malwarebytesの「ThreatDown」チームが、ランサムウェアグループ「RansomHub」による新たな攻撃手法を発見しました。この手法は、企業のセキュリティ対策を無力化し、重要な情報を窃取するという、非常に危険なものです。
この新しい攻撃手法では、主に2つのツールが使用されています:
- TDSSKiller:EDR(Endpoint Detection and Response)製品を無効化するツール
- LaZagne:さまざまなソフトウェアから資格情報(パスワードなど)を窃取するツール
これらのツールの組み合わせは、RansomHubにとって初めてのケースだと報告されています。この攻撃手法が特に危険なのは、企業のセキュリティ対策を無効化しつつ、同時に内部への侵入を可能にする認証情報を入手できる点です。
TDSSKillerとLaZagneの悪用
TDSSKiller:EDRキラーとしての悪用
TDSSKillerは、もともとKasperskyが開発した正規のルートキット削除ツールです。しかし、RansomHubはこのツールを悪用し、EDR機能を無効化する目的で使用しています。
EDRは企業のエンドポイントセキュリティにおいて重要な役割を果たしています。これを無効化されることで、攻撃者はより自由に企業のシステム内で活動できるようになってしまいます。
LaZagne:広範な資格情報窃取
LaZagneは、Webブラウザ、メールクライアント、データベースなど、さまざまなソフトウェアから認証情報を窃取するツールです。RansomHubの攻撃では、LaZagneの使用時に60回のファイル書き込みと1回のファイル削除が確認されています。
書き込まれたファイルは、窃取された資格情報のログである可能性が高いとされています。また、1回のファイル削除は、資格情報収集操作の痕跡を隠すために実行された可能性があります。
これらの窃取された認証情報は、攻撃者がネットワーク内を横方向に移動する際に利用されます。つまり、一つのシステムに侵入した後、他のシステムにも容易にアクセスできるようになるのです。
攻撃への対策
この新たな攻撃手法に対して、ThreatDownチームは以下のような対策を提案しています:
BYOVD攻撃への対策:BYOVD(Bring Your Own Vulnerable Driver)攻撃を防ぐため、TDSSKillerなどのツールが不正に使用されることを監視し、制限するためのコントロールを実装します。既知の悪用パターンを隔離またはブロックすることで、BYOVD攻撃を防ぐことができます。
ネットワークセグメンテーションの実施:ネットワークを適切に分割し、攻撃者がネットワーク内を自由に移動できないようにします。重要なシステムを分離することで、攻撃者に資格情報が窃取されたとしても、ネットワーク全体に広がることを防ぐことができます。
これらの対策に加えて、以下のような基本的なセキュリティ対策も重要です:
定期的なセキュリティアップデート:OSやアプリケーションを常に最新の状態に保つことで、既知の脆弱性を狙った攻撃を防ぐことができます。
多要素認証(MFA)の導入:パスワードが窃取されても、追加の認証要素があれば不正アクセスを防ぐことができます。
従業員のセキュリティ教育:フィッシング攻撃などのソーシャルエンジニアリングに対する意識を高めることで、攻撃の入り口を減らすことができます。
まとめ
RansomHubによる新たな攻撃手法の発見は、ランサムウェア対策における重要な情報となっています。EDRの無効化と資格情報の窃取を組み合わせた攻撃は、企業のセキュリティ体制に大きな脅威をもたらします。
組織は、この新しい脅威に対応するため、セキュリティ対策を常に見直し、強化していく必要があります。特に、EDRの保護、ネットワークセグメンテーション、そして基本的なセキュリティ対策の徹底が重要です。
サイバーセキュリティの世界では、攻撃者と防御者の間で絶え間ない攻防が続いています。私たちは、常に最新の脅威情報に注意を払い、適切な対策を講じることで、大切な情報資産を守り続けなければなりません。