ランサムウェアグループがデータ流出に悪用している12の正規ツール：セキュリティニュースアラート

Symantecは、ランサムウェア攻撃に正規ソフトウェアが悪用されているとし、データ流出に使われる12種類のソフトウェアを公開した。

[後藤大地，有限会社オングス]

　Symantecは2024年3月6日（現地時間）、ランサムウェアグループがより多くのデータ流出ツールをサイバー攻撃に使うようになっていると伝えた。

ランサムウェアグループに悪用されている12の正規ソフトウェア

　同社はこの3カ月間でランサムウェアグループが少なくとも12種類のツールがデータ流出に使用されているとし、そのツールのほとんどが正規のソフトウェアだったと説明している。

　データ流出に悪用されていることが確認された主なソフトウェアは以下の通りだ。

1. Rclone
2. AnyDesk
3. RDP
4. CobaltStrike
5. ScreenConnect
6. Atera
7. WinRAR
8. Restic
9. TightVNC
10. WinSCP
11. PandoraRC
12. Chisel

　Symantecは正規のツールの悪用事例として「Rclone」のケースを取り上げている。Rcloneはオンラインバックアップやクラウド内コンテンツを管理できるオープンソースのコマンドライン型プログラムだ。ランサムウェアグループはRcloneを悪用し、侵害したネットワークからデータを窃取したり、窃取したデータのコピーを他のシステムにコピーしたりしているという。

　同社はこれらのツール悪用の背景として、ランサムウェアグループの攻撃手法の変化を挙げる。ランサムウェア攻撃の主流は、侵害してデータを窃取した後にデータ流出と引き換えに身代金を要求する「二重の脅迫」という手口へと変化している。

　Symantecはランサムウェア攻撃の被害者にならないために以下の緩和策を推奨している。

• 送信トラフィックを監視して異常なパターンや外部サーバ、クラウドストレージサービスとの通信を検出する
• ネットワーク内のデュアルユースツール（正規のツールが悪用されているケース）の使用を監視する
• ネットワーク内で実行されたレジストリーとシステムの変更を監視する
• 最新バージョンの「PowerShell」を使用して強化されたログ記録と監査機能を使うとともに「AppLocker」など最新のセキュリティ機能を利用する
• RDPサービスへのアクセスを制限する。特定の既知のIPアドレスからのRDPのみを許可し、多要素認証（MFA）を使用する
• 管理者アカウントの使用状況の適切な監査と制御を実装する
• 管理ツールの使用プロファイルを作成する
• アプリケーションのホワイトリストの使用を検討する