標的に対する最初の侵入に使われる手口は、フィッシング詐欺、別の場所や手段で入手したログイン情報の利用、Remote Desktop Protocol(RDP)などリモートツールの悪用、Log4Shellのような脆弱性の悪用など、他のマルウェアとそれほど変わらない。しかしサイバーセキュリティ企業の露Kaspersky Labによれば、LockBitの被害が拡大する一因は自律的な拡散能力の高さにあるという。
LockBitには開発時点から自動化プロセスが埋め込まれている。他のランサムウェアが不正侵入したネットワークの接続を維持するために手動の操作を必要とするのに対し、LockBitはネットワーク内部で自動拡散する。
攻撃者が1つのホストに手動で感染させれば、あとはLockBitがアクセスできる他のホストを自ら見つけて接続する仕組み。この一連の操作を人間の介入なしに繰り返す。
そのプロセスの中で権限昇格しながら高度なアクセス権を手に入れ、ネットワークに深く、広く侵入したLockBitは、ネットワークの準備が整うと暗号化攻撃を開始する。
ここまで周到に準備する目的は、被害組織が自力で復旧することを不可能にしたり、身代金を支払う以外に現実的な解決策がないと思わせたりするためだ。実際に、LockBitのサポートデスクに連絡して身代金を支払う被害組織もあるという。しかし「犯人からの要求に応じるのは賢明とはいえない。攻撃者が最後まで約束を果たすとは限らない」とKasperskyは警告する。
そうした被害を防ぐための対策としては、強力なパスワードの使用、多要素認証の有効化、ユーザーアカウントの権限設定見直し、システム全体の定期的なバックアップとクリーンなローカルマシンイメージの用意などが挙げられる。
Kasperskyは「最終的には、ランサムウェアなどの悪意のある攻撃を阻止できるようシステムを復元する仕組みを導入することが、最も大切な防止策」と解説する。
CISAのアドバイザリーでも、最初の侵入を阻止するための対策から、侵入されてネットワーク内部で感染を広げ、権限昇格や水平移動、データ抜き取りへと至る過程で検知するための対策、さらにはデータを暗号化された場合でも被害を最小限に抑えるための対策を紹介。そうした対策を組み合わせてランサムウェアを食い止める手段を示している。
Copyright © ITmedia, Inc. All Rights Reserved.
Special
PR