金融業界を狙うランサムウェア集団を支援する「予想通りの国家」:やはりあの国
金融業界を標的とする攻撃が増加している。それらは、あの国とあの国の支援を受けた集団と結び付いているという。記事を読むまでもなく、今あなたが想像した国が多分正解だ。
2021年の第3四半期に検知されたランサムウェアの22%、APT(持続的標的型攻撃)の37%が金融業界を標的にしている。この数値はTrellixの脅威調査レポートに基づいている。Trellixは、2022年1月にMcAfee EnterpriseとFireEyeが統合して誕生した企業だ。同レポートは、金融業界で2021年7月から9月にかけて公に報告されたインシデント数がその前の3カ月よりも21%増加したことを明らかにした。
Trellixのファビアン・レッチ氏(EMEA担当バイスプレジデント)は言う。「金融、公共事業、小売りなどにおけるランサムウェア検知が全体のほぼ60%を占める。だが安全な業種・業界はない。サイバー犯罪者が最も機密度の高いデータやサービスを標的にするにつれ、防御策を強化しなければならない」
攻撃の背後にいるのはやはりあの国
これらの攻撃の大半が北京とモスクワの支援を受けた集団に結び付いている。
Guruculのサリュー・ナヤ氏(創設者兼CEO)は、標的になった業界のリストを見ても驚きはなかったという。「リストに挙がっているのは、盗み出す価値が最もある情報を保持している業界か、混乱させることによって事業や利害関係者に壊滅的な影響を及ぼす業界だ」
「攻撃者はXDR(Extended Detection and Response)やSIEM(Security Information and Event Management)といったプラットフォームを回避できる攻撃を使う。これらのプラットフォームにはルールベースの分析が組み込まれている。それは機械学習と誤って称されることが多い。既知の攻撃の特定には有用だが、多数のイベントを生成するものが多い」
関連記事
- 意外? 「データベースの脆弱性を最も放置している国」が判明
- 主要VPNサービスは危険? VPNプロバイダーの資本や国籍に注意
- ネットの地下世界“ダークウェブ”の犯罪者フォーラムに潜入してみた
- 同機種でも国ごとにセキュリティが異なるAndroid、危険な国はやはり……
- 攻撃開始から暗号化までの3時間、ランサムウェア攻撃者は何をした?
「そのため、セキュリティチームはあまりにも多くの小さな脅威や誤検知に振り回されることになる。その隙に危険性が高い脅威が忍び込むことになる」
Trellixのレポートには新しい洞察も含まれている。特に注目に値するのは、APT集団の手口が著しく成熟していることだ。最も普及しているペネトレーションテストフレームワーク「Cobalt Strike」がAPT攻撃の3分の1以上で検出され、4分の1以上の攻撃でポストエクスプロイトツール「Mimikatz」が検出された。
攻撃をサポートするため、標的のシステムにインストールされているソフトウェアを利用するLotL(Living off the Land:環境寄生型)攻撃も増えている。Trellixは、検知したLotLの42%で「PowerShell」が、40%で「Windowsコマンドプロンプト」が使われていたとする。どちらの例もコマンドを実行してアクセス権を得ていた。他にも「Rundll32」「wmicコマンド」「Excel」なども好まれている。「AnyDesk」「ConnectWise Control」「RDP」「WinSCP」などのリモートサービスツールも利用されている。
Trellixの脅威調査レポート「Advanced Threat Research Report: January 2022」は同社Webサイトで閲覧できる。検出されたマルウェアの中でほぼ80%を占める「Formbook」「Remcos RAT」「LokiBot」などのマルウェアファミリーに関する新しい統計も含まれている。
Copyright © ITmedia, Inc. All Rights Reserved.