エグゼクティブサマリー
長い間、ランサムウェアのギャングは主にMicrosoft Windowsオペレーティングシステムに焦点を合わせていました。UnixまたはLinuxベースの専用ランサムウェアが時折見られましたが、クロスプラットフォームのランサムウェアはまだ発生していませんでした。しかし、サイバー犯罪者は眠ることがなく、ここ数か月、いくつかのランサムウェアギャングがクロスプラットフォーム言語のGolang(Go)でバイナリを作成しようとしていることに気付きました。
Babukが地下フォーラムでLinux / UNIXおよびESXiまたはVMwareシステムを対象としたクロスプラットフォームバイナリを開発していると発表したとき、私たちの最悪の恐れが確認されました。企業の多くのコアバックエンドシステムは、これらの* nixオペレーティングシステムで実行されています。仮想化の場合は、複数のサーバーまたは仮想デスクトップ環境をホストするESXiについて考えてみてください。
以前のブログで、Babukチームが犯している多くのコーディングミスとともに、これについて簡単に触れました。
Babukは比較的新しいランサムウェアであり、支払いを行ってもファイルを取得できない状況につながるバイナリに関する多くの問題がありますが、その亜種は著名な企業に多く観戦しています。
最終的に、ESXi向けのランサムウェアを作成する際にBabuk開発者が直面した困難は、暗号化からデータの盗難や恐喝まで、ビジネスモデルの変化につながった可能性があります。
実際、復号化ツールの設計とコーディングは十分に開発されておらず、つまり、企業が身代金を支払うことにした場合、暗号化されたファイルの復号化プロセスは非常に遅くなる可能性があり、すべてのファイルが回復可能であるという保証がないのです。
カバレッジと保護に関するアドバイス
マカフィーのEPPソリューションは、一連の予防および検出技術を備えたBabukランサムウェアをカバーしています。
McAfee ENS ATPは、脅威をプロアクティブに検出することに重点を置いた行動コンテンツを提供すると同時に、オンラインとオフラインの両方の検出に既知のIoCを提供します。 DATベースの検出の場合、ファミリは、”Ransom-Babuk!”として報告されます。ENS ATPは、一般的なランサムウェアの動作に攻撃対象領域を削減するJTIルールと、ランサムウェアの脅威をターゲットとするMLモデルを使用したRealProtect(静的および動的)により、2つの保護レイヤーを追加します。
インジケーターの更新はGTI(脅威インテリジェンス)を介してプッシュされ、MVISION Insightsをご利用のお客様は、新しい関連情報が利用可能になった際に更新されるこのランサムウェアファミリーの脅威プロファイルを確認することが可能です。
当初、私たちの調査では、Babukの背後にいる犯罪者が使用したエントリーの経路と完全な戦術、技術、手順(TTP)は不明なままでした。
しかし、アフィリエイト求人広告がオンラインになり、Babukが投稿する特定の地下の待ち合わせ場所を考えると、防御側は他のRansomware-as-a-Serviceファミリーと同様のTTPをで予測可能になりました。
Babukは採用情報の投稿で、特にペネトレーションテストのスキルを持つ個人を求めているため、防御側は、winPEAS、Bloodhound、SharpHoundなどのオープンソース侵入テストツール、またはCobaltStrike、Metasploit、Empire/Convenantなどのハッキングフレームワークに関連する痕跡や行動に注意する必要があります。また、列挙や実行などに使用できるツール(ADfind、PSExec、PowerShellなど)など、2つの用途を持つ悪意のないツールの異常な動作にご注意ください。標的型ランサムウェア攻撃の証拠指標に関するブログ(Part1, Part2)の参照もお勧めします。
他の同様のRansomware-as-a-Serviceファミリーを見ると、特定のエントリー経路がランサムウェア犯罪者の間で非常に一般的であることがわかりました。
- 電子メールスピアフィッシング(T1566.001)。多くの場合、最初のフィッシングメールは、直接関与したり、最初の足がかりを得たりするために使用されますが、別のマルウェア株にリンクすることもできます。これは、ランサムウェアギャングが被害者のネットワークを完全に侵害し続けるためのローダーおよびエントリポイントとして機能します。これは、過去にTrickbotとRyuk、EmotetとProlockなどで観察されています。
- Exploit Public-Facing Application(T1190)は、もう1つの一般的なエントリーの経路です。サイバー犯罪者はセキュリティニュースの熱心な消費者であり、常に優れたエクスプロイトを探しています。したがって、パッチの適用に関しては、組織が迅速かつ勤勉であることをお勧めします。過去には、リモートアクセスソフトウェア、Webサーバー、ネットワークエッジ機器、ファイアウォールに関する脆弱性がエントリポイントとして使用された例が数多くあります。
- 有効なアカウント(T1078)を使用することは、サイバー犯罪者が足場を築くための実証済みの方法です。結局のところ、鍵を持っているのになぜドアを壊すのですか?弱く保護されたリモートデスクトッププロトコル(RDP)アクセスは、この入力方法の代表的な例です。 RDPセキュリティに関する最良のヒントについては、RDPセキュリティについて説明しているブログを取り上げたいと思います。
- 有効なアカウントは、被害者のコンピューターから資格情報を盗むように設計されたインフォスティーラーなどのコモディティマルウェアを介して取得することもできます。何千ものクレデンシャルを含むInfostealerログは、VPNおよび企業ログインを検索するためにランサムウェア犯罪者によって購入されます。組織として、ユーザーアカウントでの堅牢な資格情報管理と多要素認証は絶対に必要です。
実際のランサムウェアバイナリに関しては、エンドポイント保護を更新およびアップグレードし、改ざん防止やロールバックなどのオプションを有効にすることを強くお勧めします。詳細については、ランサムウェアから保護するためにENS10.7を最適に構成する方法についてのブログをお読みください。
脅威の概要
- 最近のフォーラムの発表によると、Babukのオペレーターは、ESXiおよびVMwareシステムだけでなく、Linux / UNIXシステムを明示的にターゲットにしています。
- Babukはコーディングミスに悩まされており、身代金を支払ったとしても、一部の被害者はデータを回復できません。
- ランサムウェアのこれらの欠陥により、攻撃者は暗号化ではなくデータの盗難や恐喝に移行したと考えられます。
詳細なテクニカル分析で、Babukが暗号化/身代金モデルからデータの盗難と恐喝にフォーカスしたモデルに移行するプロセスをご覧ください。
※本ページの内容は2021年7月28日(US時間)更新の以下のMcAfee Blogの内容です。
原文:Babuk: Did they Bite off More than they Could Chew when they Aimed to Encrypt VM and *nix Systems?
著者:ThibaultSeret
*共著:Northwave Noël Keijzer.