今年に入って注視されているSamSamランサムウェアについて、英セキュリティベンダーのSophosが詳細な調査(SamSam: The (Almost) Six Million Dollar Ransomware/PDF英文)を行っており、naked securityのMark Stockley氏がその概要をレポートしている。影響はそれまで予想されていたよりも大きく暗号化したファイルを解読するための身代金要求により、すでに600万ドル規模の売り上げを上げているという。
SamSamランサムウェアの新たな考察
ランサムウェアの多くが、ターゲットを絞り込まず、幅広いスパムキャンペーンを展開するがSamSamは当初報じられたワームのような拡散とは異なり、攻撃は最大のダメージを与えるように設計されており、数万ドルもの身代金を要求するといういわゆる標的型のような仕組みを持つ。攻撃頻度は、1日1回程度と低いが標的にならなかったとしても、狙われた場合の被害が大きくなるのだという。またターゲットもこれまでヘルスケア、政府、教育分野を狙うと予想されてきた。Sophosの調査からは実際は公的機関よりも企業の方が攻撃の矢面に立っていたことがわかっている。民間の被害者は単に、被害を届け出るのに後ろ向きだっただけでSamSamはターゲットから身代金として約600万ドルを獲得しており、最も高い予想額の6倍以上になる。
SamSamの攻撃者は、nlbrute(RDPクラッキングツール)のようなソフトウェア使って、RDP(リモートデスクトッププロトコル)経由で被害者のネットワークにアクセスする。そして、弱いパスワードの推測。被害者のタイムゾーンに合わせて攻撃のタイミングを変えており、被害者が米国西海岸であっても、イギリスであっても、攻撃は被害者が寝ている夜に行われれ、攻撃者は防御に対する迂回策を何度も試し、最終的にアクセスを獲得。ネットワークへのアクセスを獲得すると、SamSamはさまざまなツールを使ってドメイン管理レベルの特権を獲得高価なターゲットを探してネットワークをスキャンし、PsExecやPaExecなどのツールを使って、マルウェアを実装して実行する。感染が広がったところで、中央からランサムウェアをトリガーする。感染したマシン、ファイルは短期間で最大のダメージを与えるように暗号化され、攻撃が始まると攻撃者は被害者がダークWebの決済サイト経由でコンタクトしたかどうかを調べる。
何をすべきか?
Mark Stockley氏は被害者にならないための最善の防御は、複数の層を持つ多層防御を採用すべきだと指摘した上で、SamSamは脆弱性を基にターゲットを決めているように見える。早期は、既知のソフトウェア脆弱性を悪用し、被害者のネットワーク上に足がかりをえていたが、最近ではRDP認証の総当たり攻撃でスタートしていることが多い。パッチを当て、強いパスワードポリシーを持つことは、理想的な防御となりうる。次のステップにより、さらに強くできるとアドバイスしている。
1.RDPアクセスをVPN経由で接続するユーザーに制限する。
2.VPNアクセスと内部の機密システムへのアクセスにマルチ要素認証を用いる。
3.定期的に脆弱性スキャンとペネトレーションテストを行う。
4.オフラインとオフサイトでバックアップをとる。
データの重要性が増すにつれてバックアップやディザスタリカバリーの重要性も飛躍的に増しているが、災害と同じで遭遇するまでその対処に注意やコストを払わないという盲点をお金に還元するランサムウェア。場合によっては、ビジネスの継続すら不可能になる点を再考しなければならない。