Conti ランサムウェアに迫る XNUMX 日間: ソフォスは XNUMX つのレポートで、実際の Conti ランサムウェア攻撃のプロセスとそれをどのように阻止したかを詳しく説明しています。 また、攻撃の挙動、技術的背景、および IT 管理者向けの実用的なヒントも含まれています。
昨年の中頃からますます悪意を持って行われるようになった Conti ランサムウェア攻撃は、サイバー犯罪者が最新の高度なテクノロジーを使用してターゲットを絞った方法で攻撃を計画し、企業ネットワークへの侵入に成功する可能性を大幅に高めている印象的な例です。 Sophos Rapid Response チームは、16 つの詳細なレポートで、実際の攻撃と、それが XNUMX 日間にわたってどのように展開したかを説明しています。 「フォレンジック調査中に、攻撃者がファイアウォールの脆弱性を悪用してネットワークを侵害し、ドメイン管理データへのアクセスをわずか XNUMX 分で取得したことがわかりました。 その後、攻撃者は、ランサムウェア攻撃のバックボーンを形成するサーバーに Cobalt Strike Agent を展開しました。」
サイバー攻撃者がキーボードでライブ
この攻撃が特別だったのは、サイバー犯罪者が自分たちで制御し、すべてを自動化されたルーチンに任せていなかったことです。 これらの人間が制御する攻撃により、攻撃者は変化する状況にリアルタイムで適応し、反応することができます。 このような柔軟性により、これらの攻撃は成功する可能性が高くなり、被害者は、最初の攻撃の試みが検出されて阻止されたからといって安心することはできません。 その後、実際の Conti ランサムウェア攻撃の次の日記で説明されていることが起こります。幸いなことに、この場合はハッピーエンドです。
攻撃1日目
攻撃者はファイアウォールを突破し、被害者のサーバーのうち 16 台の管理者アカウントを乗っ取るのに 15 分しかかかりません。 次に、この攻撃が被害者によって発見されて阻止されるまで、最初のサーバーに Cobalt Strike Agent を展開します。 わずか XNUMX 分後、攻撃者は XNUMX 番目のサーバーでアクションを繰り返しますが、この攻撃は気付かれません。 ドアに足を踏み入れると、攻撃者は被害者の企業ネットワークに「忍び込み」、XNUMX 番目のサーバーに感染します。
攻撃2日目
被害者は攻撃活動に気づきません。
攻撃3日目
攻撃者は約 XNUMX 時間、興味深い情報が含まれている可能性のあるファイル フォルダーを探し、ハイジャックされた XNUMX 番目のサーバーに気付かれずにインストールされた正規のオープン ソース管理ツール RClone を使用してそれらを抽出します。 特に、財務、人事、IT 部門のデータが影響を受けます。
攻撃4日目
初日からエンドポイントとサーバー構造について学んだことを使用して、攻撃者は最初に Cobalt Strike エージェントを 1 台目のサーバーにインストールして、ランサムウェアをテストします。 成功メッセージの後、約 300 台のデバイスに Cobalt Strike をインストールし、さらに 40 分後に Conti ランサムウェアを起動します。 侵害されたエンドポイントは、さまざまなコマンド アンド コントロール アドレスからコードをロードして実行します。 悪意のある点: ハードディスクにデータが書き込まれることはありませんが、ランサムウェアは検出を回避するためにメイン メモリで直接実行されます。 その後、ランサムウェアは XNUMX 時間にわたってデータの暗号化を試みますが、難読化戦術にもかかわらず、Sophos Intercept X で保護されたコンピュータではブロックされます。 攻撃を受けた企業は、ソフォスのアプリケーション以外のインターネット接続を切断し、重要なインフラストラクチャをシャットダウンして業務プロセスを停止します。 Sophos Rapid Response チームが呼び出され、感染したエンドポイントとサーバーを特定し、さまざまな攻撃プロセスを停止し、侵害された領域の復元を開始します。
攻撃日 5
Rapid Response Task Force による最終調査では、第 XNUMX の潜在的なデータ流出、第 XNUMX の侵害されたアカウント、および脆弱なファイアウォールを通過する疑わしい RDP (リモート デスクトップ プロトコル) トラフィックが特定されました。 同時に、被害者は保護されていないエンドポイントを復元し、重要なインフラストラクチャを起動します。
物語の教訓
多くの場合、ランサムウェア攻撃で真っ先に狙われるのは IT 管理者です。 彼らは朝に出勤し、身代金メモですべてが暗号化されているのを見つけます。 ラピッド レスポンス チームの経験に基づいて、ソフォスは、ランサムウェア攻撃後の困難な最初の数時間および数日間に最適に対処するためのアクション リストを作成しました。
- サイバー犯罪者がネットワークにアクセスするのを防ぐために、インターネットへのリモート デスクトップ プロトコル (RDP) をオフにします。
- RDP へのアクセスが絶対に必要な場合は、VPN 接続を介して保護する必要があります。
- エンドポイントの検出と対応 (EDR) 機能や、ネットワークを 24 時間 7 日監視するための管理された対応チームを含む多層セキュリティ対策は、攻撃を防ぎ、サイバー攻撃の保護と検出において重要な役割を果たします。
- ランサムウェア攻撃に先行することが多い既知の先行指標を常に監視します。
- IT インフラストラクチャと会社の変化に合わせて継続的に更新する必要があるインシデント対応計画の作成。
- 豊富な経験を持つ外部の専門家が優れた支援を提供できます。
ソフォスからの XNUMX つの Conti ランサムウェア レポート
ソフォスの XNUMX つのレポートでは、Conti ランサムウェア攻撃がさまざまな観点から説明されており、攻撃が発生した場合のアクションに関する具体的な指示が示されています。 英語版のレポートは、次のリンクからダウンロードできます。
Conti ランサムウェア攻撃のタイミング:
Conti ランサムウェアの回避機能に関する SophosLabs のテクニカル ブリーフ:
IT 管理者が攻撃に対処するための 12 項目のチェックリストを含む手順:
詳細については、Sophos.com をご覧ください。
ソフォスについて ソフォスは、100 か国の 150 億人を超えるユーザーから信頼されています。 複雑な IT の脅威とデータ損失に対する最高の保護を提供します。 当社の包括的なセキュリティ ソリューションは、導入、使用、管理が簡単です。 業界で最も低い総所有コストを提供します。 ソフォスは、受賞歴のある暗号化ソリューション、エンドポイント、ネットワーク、モバイル デバイス、電子メール、および Web 向けのセキュリティ ソリューションを提供しています。 また、独自の分析センターのグローバル ネットワークである SophosLabs からのサポートもあります。 ソフォスの本社は、米国のボストンと英国のオックスフォードにあります。