Hive を使用したランサムウェア攻撃の過程は、Varonis のフォレンジック チームによって、顧客の展開中に調査されました。 サイバー犯罪者の攻撃と行動は、このように文書化されました。
2021 年 XNUMX 月に初めて発見された Hive は、サイバー犯罪者がサービスとしてのランサムウェアとして使用し、世界中の医療施設、非営利団体、小売業者、公益事業、その他の業界を攻撃しています。 最も一般的なのは、一般的なランサムウェアの戦術、手法、および手順 (TTP) を使用して、被害者のデバイスを侵害します。 とりわけ、悪意のあるファイルが添付されたフィッシング メール、盗まれた VPN 資格情報、および脆弱性が、標的のシステムへの侵入に使用されます。 Varonis のフォレンジック チームは顧客を訪問中に、このような攻撃を調査し、サイバー犯罪者の行動を文書化することができました。
フェーズ 1: ProxyShell と WebShell
まず、攻撃者は Exchange サーバーの既知の ProxyShell の脆弱性を悪用し、悪意のあるバックドア スクリプト (webshell) を Exchange サーバー上の一般にアクセス可能なディレクトリに配置しました。 これらの Web スクリプトは、侵害されたサーバーを介して SYSTEM 権限で悪意のある PowerShell コードを実行する可能性があります。
ステージ 2: コバルト ストライク
悪意のある PowerShell コードは、Cobalt Strike フレームワークに接続されたリモート コマンド & コントロール サーバーから追加のステージャーをダウンロードしました。 ステージャーはファイル システムに書き込まれるのではなく、メモリ内で実行されます。
フェーズ 3: Mimikatz と Pass-The-Hash
SYSTEM 権限を使用して、攻撃者は「user」という名前の新しいシステム管理者を作成し、資格情報のダンプ フェーズに進み、そこで Mimikatz を展開しました。 その「logonPasswords」モジュールを使用して、システムにログオンしているアカウントのパスワードと NTLM ハッシュを抽出し、結果をローカル システムのテキスト ファイルに保存することができました。 攻撃者は、管理者の NTLM ハッシュを取得すると、pass-the-hash 手法を使用して、ネットワーク上の他のリソースへの高度な特権アクセスを取得しました。
フェーズ 4: 機密情報の検索
次に、攻撃者はネットワーク全体で大規模な偵察活動を行いました。 名前に「password」を含むファイルの検索に加えて、ネットワーク スキャナーも使用され、ネットワークの IP アドレスとデバイス名が収集され、続いてバックアップ サーバーやその他の重要なリソースへの RDP が収集されました。
ステージ 5: ランサムウェアの展開
最後に、Windows.exe と呼ばれる Golang で記述されたカスタム マルウェア ペイロードが配布され、さまざまなデバイスで実行されました。 ここでは、シャドウ コピーの削除、セキュリティ製品の無効化、Windows イベント ログの削除、アクセス権の削除など、いくつかの操作が実行されました。 このようにして、スムーズで広範な暗号化プロセスが保証されました。 暗号化フェーズ中に、ランサムウェアのクレーム ノートも作成されました。
ランサムウェア攻撃の極端な増加
ランサムウェア攻撃は近年大幅に増加しており、依然として金銭目的のサイバー犯罪者に好まれる方法です。 攻撃の影響は壊滅的なものになる可能性があります。企業の評判を傷つけ、通常の業務を永久に中断させ、機密データの一時的または永久的な損失につながる可能性があり、GDPR の下で多額の罰金を科される可能性があります。
このようなインシデントの検出と対応は困難な場合がありますが、ほとんどの悪意のあるアクティビティは、適切なセキュリティ ツール、適切なインシデント対応計画、パッチを適用した既知の脆弱性によって防ぐことができます。 そのため、Varonis フォレンジック チームは次のアクションを推奨しています。
- Microsoft が提供する最新の Exchange 累積更新プログラム (CU) およびセキュリティ更新プログラム (SU) を Exchange サーバーに適用します。
- 複雑なパスワードの使用を強制し、ユーザーがパスワードを定期的に変更することを要求します。
- Microsoft LAPS ソリューションを使用して、ドメイン アカウントからローカル管理者のアクセス許可を取り消します (最小特権アプローチ)。 非アクティブなユーザー アカウントを定期的に確認し、それらを削除します。
- SMBv1 の使用をブロックし、SMB 署名を使用して pass-the-hash 攻撃から保護します。
- 仕事に実際に必要なファイルへの従業員のアクセス権を制限します。
- ポリシーに違反するアクセス制御の変更を自動的に検出して防止します。
- サイバーセキュリティの原則について従業員を教育します。 定期的な意識向上トレーニングは、企業文化の基本的な部分でなければなりません。
- 会社や顧客の情報、およびその他の重要なデータを処理および保護する方法を説明する、基本的なセキュリティ慣行と行動規範を確立します。
ヴァロニスについて 2005 年の創業以来、Varonis はオンプレミスとクラウドの両方に保存されている企業データをセキュリティ戦略の中心に置くことで、ほとんどの IT セキュリティ ベンダーとは異なるアプローチをとってきました。従業員記録、財務記録、戦略および製品計画、およびその他の知的財産。 Varonis Data Security Platform (DSP) は、データ、アカウント アクティビティ、テレメトリ、およびユーザーの行動を分析することで内部関係者の脅威とサイバー攻撃を検出し、機密データ、規制対象データ、および古いデータをロックダウンすることでデータ セキュリティ違反を防止または軽減し、システムの安全な状態を維持します。効率的な自動化を通じて、