SamSamランサムウェアに関する重要な最新情報

Cyber Threat Allianceと連動し、Sophosは7月31日、「SamSam」と呼ばれる非常に巧妙なランサムウェアを仕掛ける脅威グループについて詳細な分析結果を公表しました。フォーティネットもCyber Threat Alliance(CTA)のメンバーですので、FortiGuardのお客様をこれらの脅威から保護できるよう、公表に先駆けてすべてのIOC(Indicator of Compromise:侵害指標)に関する情報を受け取りました。2015年後半に初めて登場したSamSamランサムウェアは、当初比較的目立たないリスクでしたが、それ以降積極的な拡大が見られ、医療機関から教育機関、地方自治体まで、幅広い組織を標的としてきました。Sophosの見積もりでは、SamSamを仕掛けるグループはこれまでに被害者から600万ドル近くを巻き上げてきたということです。

SamSamを使った標的型キャンペーンでは、脆弱性につけいることに重点をおいた戦略を用い、ネットワークで系統的に水平の動きをすることで標的を特定し、マシンのロックを行います。検知をかわすため、これらの攻撃は通常、就業時間後などの時間帯に実施されてきました。攻撃者たちはその後偵察を行い、標的とするデバイスに侵入し、環境変数が攻撃に適した状態になるまで休眠した状態を保ちます。適した状態になると、SamSamは特定したシステムを一斉に攻撃しますので、侵害を受けたデバイスを隔離することが非常に困難になります。

SamSamの攻撃者はペンテスティングや、Mimikatzというpost-exploitationツールなどの既知のツールを複数用いて認証情報を収集し、PSexecを用いて組織内を水平移動しながら、手動でSamSamマルウェアをインストールします。通常、セキュリティデバイスはこのようなトラフィックを組織内の誰かによる正式のコマンドとして認識し、警告がトリガーされることがないため、これは非常に有効なテクニックです。また、攻撃者はSamSamランサムウェアを手動でインストールするので、このプロセスでもシステムやネットワーク管理者、多くのアンチウイルス、IPS防御によって不要な注目を集めることがありません。貴重なファイル(文書、データなど)が標的とされるだけでなく、Microsoft Officeの構成ファイルなども攻撃されるため、業務が完全にストップしてしまうというのが一番の懸念材料です。


SamSamなどのランサムウェアから自分の組織を保護する

ランサムウェアは組織を妨害するのに有効な手段であることが知られており、金融機関や医療施設などの完全なデジタルビジネスが、紙と鉛筆を用いて複雑な業務を管理しなければならない事態に追い込まれることも少なくありません。多くの組織ではダウンタイムを何万、何十万ドルと計算し、一刻も早く業務を元の状態に戻す必要があるため、デバイスやネットワークのロック解除のために法外な身代金を支払うことになってしまうのです。しかし、身代金を支払ったからと言って、システムのロック解除に必要な鍵が提供される、あるいは犯罪者がこうした攻撃が繰り返せないよう、侵害を受けたシステムから侵害を完全排除できるという保証は全くありません。

SamSamのようなランサムウェアに対する最善の策は、備えです。


積極的にデバイス、ソフトウェア、アプリケーションのパッチを適用し、アップデートを行う

ほとんどのランサムウェアによるブリーチは、未パッチの脆弱性につけいられることが原因です。しかも、何週間、何か月、何年もパッチが提供されている脆弱性が多々あります。組織で自分たちの既存のハードウェア、ソフトウェア、アプリケーションの目録を作成し、その脆弱性やリスクの優先順位を決定し、通常のプロセスを実施して必要なパッチやアップデートを管理していく必要があります。こうしたセキュリティのベストプラクティスを無視すると、SamSamのような攻撃の影響を受けやすくなり、巧妙でない基本的なサイバー攻撃が使用される場合でさえも、ネットワークブリーチが発生してしまいます。


アクセス管理および内部セグメンテーションソリューションを配備

侵害や脅威の広がりを制限するため、組織は強力なアクセス管理とともに、セキュアなネットワークセグメンテーションを導入して、デバイスやデータを隔離させ、より広範なネットワークへの特権的アクセスを持つ人でも、デバイスの閲覧や侵害をできないようにする必要があります。アクセス管理では、2要素認証やトークン管理、シングルサインオン、バイオメトリクスなどを使って機密情報にアクセスしたり、ソフトウェアのアップデートを行おうとするユーザーやアプリケーションを明確に認証する必要があります。ネットワークセグメンテーションは、デバイスやシステム管理に対して、隔離したセキュアなアクセスチャネルを提供することも可能です。


ベースライン管理トラフィック

マルウェアが一般的なペンテスティングや管理ツールを用いてマルウェアのロードやデバイスの侵害を行う傾向が強くなってきているため、すべての管理トラフィックやアクティビティのベースラインを設定することが重要です。これにより、挙動解析システムが、デバイス構成などの予期しない、あるいは普段は見られない管理イベントを迅速に特定し、警告を行うことができるようになります。


データをバックアップ

ランサムを支払うよりも、侵害を受けたオペレーティングシステムやソフトウェア、アプリケーションを、クリーンなバックアップバージョンに差し替えるというのも有効な対応の1つです。この方法にはいくつかの手順が必要です。まず、バックアップを定期的に行い、侵害を検知した時点と、最新のクリーンなバックアップの差を縮める必要があります。バックアップは、マルウェアやその他アノマリーを検出するためのスキャンを行う必要があります。同じ感染が見られるバックアップを使って侵害を受けたデバイスを回復しても意味はありません。最後に、これらのバックアップが攻撃の最中や攻撃後に破損したり、利用不可能になったりしないよう、管理者はこれらをオフライン環境に保存しなければなりません。


ソリューションおよび保護

FortiGuard Labsでは、Sophosのブログに記載されているSamSamのIOCをすべて分析し、既知のサンプルすべてに対してAV保護を配備しました。

W32/Samas.C!tr
MSIL/Kryptik.BV!tr
MSIL/Filecoder_Samas.B!tr
W32/Generik.BV!tr
W32/Samas.F!tr
W32/Kryptik.BV
W32/Agent.PCS!tr.spy
W32/MSIL.LGG!tr
W32/MSIL.LGF!tr
BAT/RansRun.A!tr
W32/Generik.BW!tr
MSIL/Kryptik.BW!tr
W32/Ransom.EWU!tr
MSIL/Filecoder.AR!tr
W32/STUBDCRYP.A!tr
W32/RUNNER.GBB!tr
PossibleThreat
MSIL/Generic.AP.64370!tr
MSIL/Injector.JAX!tr
MSIL/Generic.AP.11FED6!tr
MSIL/Generic.AP.FC7CE!tr
Trojan.FNEY!tr
MSIL/Generic.AP.A8642!tr
W32/Samas.A!tr
Trojan.FLLL!tr
W32/Generic.A!tr
MSIL/Generic.AP.70DAA!tr
MSIL/KillFiles.Y!tr
Generik.DHAHMQP!tr
MSIL/Generic.AP.5AC80!tr
Trojan.FLAI!tr
Ransomware.SAMAS!tr
W32/Agent.SFI!tr
MSIL/Samas.B!tr
W32/Samas.AB!tr
W32/DELETER.SEA!tr
W32/Agent.B!tr
Ransom.A!tr
Ransom!tr
W32/Agent.XN!tr
W32/Ransom.DSR!tr
MSIL/Filecoder_Samas.A!tr
Trojan.O!tr
W32/MSIL.GWZ!tr
W32/Tpyn.A!tr
Generik.FIXATIN!tr
W32/MSIL.GJR!tr
W32/Tpyn.SAMAS!tr
Trojan.SAMAS!tr
W32/Tpyn.CHU!tr
MSIL/Ransomware.FHD!tr
Ransomware.FHD!tr
W32/MSIL.FZL!tr
W32/RansmSam.A!tr
W32/MSIL.FZK!tr
BAT/Starter.B!tr
MSIL/Agent!tr
Trojan.I!tr
Ransomware.FDL!tr
W32/Samas.AR!tr
W32/Deshacop.BMV!tr
W32/Mimikatz.A!tr
W32/Kryptik.BV

また、この攻撃に関連するすべてのURLは、FortiGuard Labs のWebフィルタリングによってブラックリストに登録済です。


最新の脅威に関する詳細については、四半期ごとの脅威レポートの最新版をご覧ください。 FortiGuard Labsでは、脅威インテリジェンス情報(英文)を毎週お届けしていますので、ぜひご購読ください。