市販ツールでランサムウェア攻撃 効率化重視の脅威アクターの実態：Cybersecurity Dive

サイバー攻撃者はより効率的なオペレーションを実行し、市販のツールでスキルを補完することで攻撃を成功させている。

[Matt Kapko，Cybersecurity Dive]

　サイバー攻撃者はより効率的でインパクトのある作戦を実行するために、戦術を転換して新たなツールを取り入れている。

　Palo Alto Networksのウェンディ・ウィットモア氏（グローバル脅威インテリジェンスチーム「Unit 42」担当SVP）は、同社の年次ユーザーサミットの基調講演で（注1）、「昨今のサイバー攻撃者はしばしば、規模の経済を構築しようとしている」と述べた。

効率化重視の脅威アクター、市販のツールでランサムウェア攻撃を仕掛ける

　最近の脅威アクターは、1つの企業に対して1つの攻撃手段を用いるのではなく、サプライチェーン全体を標的にしている。その中でもランサムウェアグループは、データを暗号化してバックエンドで復号する手法に代わって、情報を盗み出して身代金の要求が満たされない場合は公開すると脅迫する手法を採るようになってきている。

　「かつてランサムウェアのトレンドであった『四重脅迫』というコンセプトはあまり流行していない」とウィットモア氏は言う。その4つの攻撃形態とは「データの暗号化」「データの盗難と公開」「DDoS攻撃」「標的となった組織における最も機密性の高い顧客に対する盗難情報による嫌がらせ」だ。

　研究や構築、作成に多大な時間と費用がかかるゼロデイ脆弱（ぜいじゃく）性を利用したエクスプロイト（脆弱性を突いた攻撃プログラム）も同様に使われるケースが少なくなってきている。ウィットモア氏は「サイバー攻撃者は可能な限り効率的に"業務"を遂行する方向に向かっている」と話す。

　データが盗まれた場合、組織の最優先事項は問題を迅速に解決し、顧客データが流出しないようにすることだ。これには規制や通知の要件への準拠も含まれる。脅威アクターはこれを把握しており、技術やプロセスだけでなく、使用するツールにおいてもビジネスオペレーションを最適化している。

　「近年、脅威アクターは使用しているツールセットを共通化、収束する動きがみられる。この中には、もともとレッドチームのセキュリティ研究者が開発したツールも含まれている」（ウィットモア氏）

攻撃シミュレーションツールが悪用される事例も

　Unit 42の研究者は2022年、ペンテストツール「Brute Ratel C4」を悪用し、ウイルス対策やエンドポイントの検知・応答保護を回避する脅威アクターを発見した（注2）。

　ウィットモア氏の同僚は、もともと合法的に使用するために設計されたこのツールが、企業に対するランサムウェア攻撃に関与していると判断した。

　「最初の攻撃経路はフィッシングメールだった。受信者が電子メールを開くと、マルウェアダウンローダーを含むZIPファイルが実行され、企業の数万台のシステムにまたがる全環境で1つのエンドポイントにマルウェアがインストールされたそうだ」（ウィットモア氏）

　脅威アクターは、4つのサーバへのアクセスを可能にするリバースシェルをインストールすると、Brute Ratel C4を利用し始めた。ウィットモア氏は「彼らは、どのデータを盗みたいかを非常に早く理解し、そのデータの流出に成功している。データを盗んだ後、環境全体にマルウェアをインストールし、数千万ドルの和解金を要求した」と話す。

　Unit 42は、誰が開発したかにかかわらず、市販されているスキルやテクニック、テクノロジーを活用する脅威アクターが今後増えるだろうと予想している。

　ウィットモア氏は「今後予想されるのは、仕事を遂行するために必要なツールは何でも使い、可能な限り効率を高める脅威アクターがさらに増えるということだ。盗まれる秘密ともうかるお金がある限り、私たちが対処すべき新しい攻撃、そして新たなサイバー攻撃者は存在し続けるだろう」と警鐘を鳴らした。

（注1）The Premier Summit for Security Operations（Palo Alto Networks）
（注2）Threat actors capitalize on red team tool capable of bypassing EDR, antivirus（Cybersecurity Dive）

原文へのリンク