ロッドマン・ラメザニアン - グローバルクラウド脅威リード
2023年6月30日 7分で読めます
通常、有効なRemote Desktop Protocol (RDP) 認証情報を介してアクセスを取得するBianLianのランサムウェアキャンペーンは、教育、医療、重要インフラ、銀行、金融サービスおよび保険、メディアおよびエンターテイメント、製造業、その他の業界の著名な組織を標的としてきました。
勧告によると、「BianLianグループは、被害者に身代金を支払わせるために追加の手法を用います。例えば、侵害されたネットワーク上のプリンターに身代金要求メモを印刷するなどです。被害企業の従業員は、BianLianグループと関連する人物から脅迫的な電話を受けたことも報告しています。」

各情報機関が提供する多くの注意喚起と推奨事項の中で、この勧告は、攻撃対象領域を減らし、不正なラテラルムーブメントの機会を排除するために、組織が「…RDPおよびその他のリモートデスクトップサービスの使用を厳しく制限すること…」の重要性を強調しています。これは特に重要です。なぜなら、BianLianグループは、他のほとんどのランサムウェアグループとは異なり、一方的なフィッシングメールにのみ依存するより正統的な戦術、技術、手順(TTPs)ではなく、主にリモートアクセスツールの技術的悪用を利用しているからです。
データ持ち出しに重点を置いたBianLianのランサムウェアの最新版は、「File Transfer Protocolと、ファイルをクラウドストレージに同期してデータを持ち出すために使用されるツールであるRcloneを使用します。FBIは、BianLianグループのアクターがRcloneやその他のファイルを一般的で通常チェックされないフォルダーにインストールしていることを確認しました…ACSCは、BianLianグループのアクターがMegaファイル共有サービスを使用して被害者のデータを持ち出していることを確認しました。」
今日、ランサムウェアがそれ自体の脅威ベクトルであることは、もはや「斬新」とは言えません。データがあるところには、脅威アクターがこの機密情報を人質に取り、その解放のために支払いを要求する機会があります。この概念は、マルウェア感染の初期にまで遡り、「AIDSウイルス」株がランサムウェアの最初の事例の1つとして登場しました。
従来のランサムウェア支払い要求に応じることに対し、被害組織がより厳格な姿勢を取るようになったため、恐喝とデータ窃盗の手法はランサムウェアグループの間で人気が高まり続けています。この刷新された「手口」により、脅威アクターは初期アクセスを獲得し、被害者のネットワーク全体にわたって横方向に移動し、その後の持ち出しのために機密性の高い/価値のあるデータを見つけ、ランサムウェアペイロードを展開し、最終的に要求を発します。その後、被害組織が最初の身代金要求に応じない場合、脅威アクターは盗んだデータをオンラインで漏洩させると脅迫します。
残念ながら、この改良された二重恐喝モデルは、サイバー犯罪者とその脅威キャンペーンの間で勢いを増しており、彼らは影響を受けたシステムの復号と、盗まれた被害者データの漏洩を行わないことに対して、別々の支払いを要求しています。
最低限、基本的なセキュリティガイドラインと多要素認証を可能な限り有効にし、使用する必要があります。これは、前述の勧告で「フィッシング耐性のある多要素認証」として具体的に指摘されています。BianLianは、静的で有効な認証情報がいかに取得され、被害者のインフラへのより大きなアクセスを容易にするために悪用されているかを示す、もう一つの例となっています。
ランサムウェアは、その名の通り、主に被害組織のデータを人質に取り、身代金を要求することに焦点を当てています(これは言うまでもないでしょう)。その方法は?従来、これは被害者のファイルを暗号化することによって行われます。もし貴社のファイルが脅威グループの暗号化アルゴリズムによって人質に取られた場合、Avastのチームは、被害者が暗号化されたデータを無料で取り戻し、攻撃者への身代金支払いを回避できるよう、BianLianに特化した復号ツールを開発しました。
さらに、組織は、BianLianの感染を検出し、修復し、防止するために、適切なプラットフォームで既知のIOC(Indicators of Compromise)を活用することが強く推奨されます。
各情報機関が勧告で指摘しているように、攻撃対象領域の削減は、特にラテラルムーブメントがここでのもう一つの一般的なTTPであるように見える場合、考慮すべき重要なリスク軽減手法です。RDPとリモートデスクトップサービスを厳しく制限することは、Lapsus$やVenusのような最近の脅威に対して一般的に推奨されており、BianLianに対しても同様に真剣に受け止めるべきです。

当然のことながら、今日の組織は、分散された環境で従業員が機能し、協力できるようにするため、リモートアクセスサービスと機能に大きく依存しています。このため、既存のRDPツールを単に「廃止する」という強硬なアプローチを取ることは現実的ではないかもしれません。代わりに、組織はリモートデスクトップの使用と悪用に関連する根本的なリスクを可能な限り軽減する方法を見つけるべきです。
例として、Zero Trust Network Access (ZTNA) の原則に沿うことで、攻撃対象領域の削減に大きく貢献できます。これは、あらゆるリソースへのアクセスがデフォルトで拒否されることを意味します。内部かリモートかを問わず、すべてのユーザーとデバイスは安全ではなく危険であると見なされ、RDP接続サービスを含む機密性の高いプライベートリソースへのアクセスを許可する前に、そのIDとセキュリティポスチャが検証されなければなりません。
ZTNAは、組織がソフトウェア定義の境界を作成し、企業ネットワークを複数のマイクロセグメントに分割することを可能にします。有効なログインキーを持つすべてのユーザーに基盤となるネットワーク全体ではなく、特定のアプリケーションと内部リソースへの「最小特権」アクセスのみを許可することで、攻撃対象領域は劇的に削減され、侵害されたアカウントやデバイスからの脅威のラテラルムーブメントが防止されます。


サイバーセキュリティ業界で11年以上の豊富な経験を持つ Rodman Ramezanian は、Skyhigh Security のエンタープライズクラウドセキュリティアドバイザーであり、技術アドバイザリー、イネーブルメント、ソリューション設計、アーキテクチャを担当しています。この役割において、Rodman は主にオーストラリア連邦政府、防衛機関、および企業組織に焦点を当てています。
ロッドマンは、敵対的脅威インテリジェンス、サイバー犯罪、データ保護、クラウドセキュリティの分野を専門としています。彼はオーストラリア信号局 (ASD) が認定するIRAP評価者であり、現在、CISSP、CCSP、CISA、CDPSE、Microsoft Azure、およびMITRE ATT&CK CTIの認定資格を保有しています。
率直に言って、ロッドマンは複雑な事柄を簡単な言葉で説明することに強い情熱を持っており、一般の人々や新しいセキュリティプロフェッショナルがサイバーセキュリティの「何を、なぜ、どのように」を理解するのを助けています。