SMEs in focus: ソフォスは、LockBit ランサムウェアに関する最新の調査を発表します。 XNUMX つ目は、自動化されたツールを使用して、ハッキングされたネットワーク上の特定の税務および会計ソフトウェアにランサムウェアを感染させることです。XNUMX つ目は、PowerShell ファイルの名前を変更して自分自身を偽装することです。
「LockBit 攻撃者は、自動化された攻撃ツールを使用して有望な標的を特定します」と、ソフォスの上級脅威研究員である Sean Gallagher は述べています。 分析により、犯罪者が PowerShell ツールを使用して、ハッキングされたネットワーク上で税務および会計ソフトウェアなどの特定のビジネス アプリケーションを検索する方法が明らかになりました。 この検索によって生成されたフィンガープリントがキーワード条件に一致する場合、ツールは LockBit 攻撃の開始を含む多くのタスクを自動的に実行します。
新たな攻撃手法を特定
研究者はまた、LockBit が検出を回避することを可能にする多くの新しい攻撃ベクトルを特定することができました。 これには、PowerShell ファイルの名前変更と、コマンド アンド コントロール通信用のリモート Google ドキュメントの使用が含まれます。 高度に自動化された攻撃の性質により、ランサムウェアは起動されると XNUMX 分以内にネットワーク全体に拡散し、同時にアクティビティ ログを削除します。
LockBit の攻撃者は特に中小企業を被害者として標的にしています
「LockBit が特定のビジネス アプリケーションとキーワードに関心を持っていることは、被害者に支払いを強要するために、攻撃者が中小企業にとって価値のあるシステム (財務データを保存し、日常業務を処理するシステム) を明らかにしたかったことを示しています」と Gallagher 氏は述べています。 . 「ランサムウェアが実行中のビジネス アプリケーションをフリーズさせるのは見てきましたが、攻撃者が潜在的な標的を特定するための自動化されたアプローチで特定の種類のアプリケーションを探したのはこれが初めてです。」
LockBit ランサムウェア グループは、Ryuk のようなランサムウェア派閥を追っています
「LockBit ギャングは、Ryuk を含む他のサイバー ギャング グループを追跡しているようです。 ソフォスは最近、Cobalt Strike を使用してこのグループについて発見しました。 これらは、攻撃を自動化および加速するための侵入テスト用に開発されたツールです。 この場合、PowerShell スクリプトは、特に価値のあるデータを含むアプリケーションをホストするシステムを攻撃者が特定するのに役立ちます。 こうすることで、支払いの可能性が低い被害者のために時間を無駄にしたくないのです。」
正当なツールの悪用とマルウェア対策保護の変更
LockBit 攻撃者は、通常の自動化された管理タスクのように見せかけ、正当なツールを使用することで、活動を隠そうとします。たとえば、犯罪者は Windows スクリプト コンポーネントの偽装コピーを作成し、Windows タスク スケジューラを使用してそれらを起動します。 さらに、組み込みのマルウェア対策保護が機能しなくなるように変更します。
「この種のランサムウェア攻撃を防御する唯一の方法は、すべてのシステムにマルウェア対策保護を一貫して実装する多層防御です。 サービスが保護されていないか、不適切に構成されていると、攻撃者は簡単にそれらを悪用できます」と Gallagher 氏は結論付けています。
詳細については、Sophos.com をご覧ください。
ソフォスについて ソフォスは、100 か国の 150 億人を超えるユーザーから信頼されています。 複雑な IT の脅威とデータ損失に対する最高の保護を提供します。 当社の包括的なセキュリティ ソリューションは、導入、使用、管理が簡単です。 業界で最も低い総所有コストを提供します。 ソフォスは、受賞歴のある暗号化ソリューション、エンドポイント、ネットワーク、モバイル デバイス、電子メール、および Web 向けのセキュリティ ソリューションを提供しています。 また、独自の分析センターのグローバル ネットワークである SophosLabs からのサポートもあります。 ソフォスの本社は、米国のボストンと英国のオックスフォードにあります。