ウクライナにおけるロシアの活動は、緊張の高まりを越えて完全な侵略へと移行しており、戦場は物理的およびサイバー分野の両方で行われている。そのため、ウクライナの資産やインフラを破壊し、劣化させるために、ロシア国家主体による新型のワイパー(マルウェア)が配備されているが、その爆発半径はほぼ間違いなく、これらの目標に限定されることはないだろう。
この紛争の矢面に直接あるいは間接的に立たされる可能性のある組織には、自らを守るためにとるべき実際的な手段がある。
ランサムウェアとワイパーマルウェアは密接に関連している。
このワイパーマルウェアは、ここ数年ですっかりお馴染みになったランサムウェアと密接な関係があります。唯一の本当の違いは、最終的な目標にある - 不可逆的にデータとシステムへのアクセシビリティを破壊することです。そのため、近年のランサムウェア攻撃、特にロシアのグループに起因するもの、またはロシアと密接に関係するものから得た教訓を生かす必要がある。
ランサムウェア攻撃と同様に、ワイパー型マルウェアのキャンペーンは、外部からアクセス可能なサービスに対するエクスプロイトを活用して、組織のネットワーク内に足場を築く傾向があります。そこからC&Cチャネル(DMZ内のWebシェルを含む)を確立し、継続的なコントロールを確保する。この足場が確立されると、攻撃者は認証情報をダンプします。
このようなマルウェアは、アタックサーフェスであるコンピュータを破壊し、被害を最大限に拡大することを目的として、環境内でのアクセスを拡大するために使用されます。攻撃の最終段階では、ワイパー型マルウェアを起動してシステムを操作不能にします。攻撃者がこの最終段階を実行するのは、攻撃範囲を最大限に拡大した場合、または攻撃者が発見され、制御不能に陥る危険性があるとアラートされた場合です。
侵害された1つのシステムから、侵害されたシステムのネットワーク全体へと至る各ステップは、最終的なインパクトを最大化するためのものです。攻撃者は、最初の侵害ポイントを利用してネットワーク内を移動し、可能な限り広範囲にアクセスを拡大することによってのみ、これを行うことができます。
危殆化したシステム上の認証情報を使って新しいシステムにアクセスし、さらに多くの認証情報へのアクセスを提供する、といった具合だ。
ワイパー攻撃者の被害者の報告によると、この手口でドメイン・コントローラーが侵害され、攻撃者はそのドメイン・コントローラーを使用して、すべてのシステムにワイパーマルウェア。これは、ランサムウェアの運営者が繰り返し利用するのを見てきた手法です。
ランサムウェアと同様、開示されるIOCや使用されるマルウェアは、時間の経過とともに変化すると予想される。攻撃者がこのような変更を迅速に行うことは容易である。逆に、攻撃者がマルウェアを埋め込み、環境内で最大の影響力を得るために使用するテクニックは、今後も変わることはないでしょう。
ロシアのワイパーマルウェアから身を守るための実践的な手順
結局のところ、これらの脅威は破壊の意図を表しており、組織は、レジリエンスを向上させ、迅速 な復旧を確実にするための計画を実行に移すのが得策である。その多くは新しい推奨事項ではないが、組織のバックログのどこかにあるかもしれない。脅威の情勢が変化していることを踏まえ、私たちは、組織がリスクの計算をやり直し、次のような変更 の一部または全部を行うことを提案する。
- 低空飛行の果実を取り除く。公にアクセス可能な資産にパッチを当て、保護する。悪用可能な脆弱性が知られているパブリックアクセス可能なアセット は標的になりやすく、これらのアセットにパッチを適用することは最優先事項で なければならない。CISAはこれらの優れたリストを管理している。同様に、VPNアクセスや公開ログオンポータル、SaaSサービスのアカウントも、多要素認証で保護する必要がある。
- DMZをコントロールする。ネットワークDMZからの許可されたアウトバウンドトラフィックは、敵対者がDMZに有用な足場を築くことを困難にするため、明示的にホワイトリストに登録する必要がある。このようなホワイトリストを維持するのは大変ですが、DMZから効果的にコマンド&コントロールを実行する敵対者の能力を著しく複雑にします。
- 信頼と最小特権。私たちはしばしばこれを管理者認証に関連付けるが、この場合、一般にアクセス可能なシステムとネットワークの残りの部分というレンズを通して見てほしい。配備や運用を容易にするためにシステムやアカウントが過剰に特権化されたすべての時期に関連するリスクの蓄積が、攻撃を可能にする重要な要因であることが多い。
- 従業員の頭をゲームに集中させる。現実的なところでは、危機モードでないときにダウンタイムを強制する。絶え間ない警戒態勢を維持することはストレスであり、ミスを犯したり、重要な指標を見落としたりする可能性を高める。サイバーインシデント(レスポンス )は深いストレスになることを理解する。
- 帯域外通信を計画する。ITシステムが侵害されると、社内コミュニケーション(Eメール、チャットなど)に使用しているシステムも侵害される可能性があり、防御能力がさらに制限されます。このような事態を想定し、安全なバックアップ通信に投資しましょう。Signalのようなアプリが人気なのには理由がある。
- ⑭復旧計画に対する自信を優先させる。ITシステムの復旧計画は、現在の楽観論と不正確な過去の情報の組み合わせで構築されていることがあまりにも多い。今こそ、それらをほじくり返し、特に電子メールのようなビジネス・クリティカルなシステムに対する攻撃シミュレーションを、最低限、卓上で、できれば実行する時です。
もしあなたがターゲットにされたり、攻撃を受けているのであれば、私たちは無料であなたをサポートします。
私たちの組織の使命は、世界をより安全で公平な場所にすることです。私たちはそれを支持しています。この紛争の結果、あなたの組織が攻撃を受けている場合、私たちは無償で支援します。
高度な検知とレスポンス能力は、現在の世代のサイバー兵器に耐えるために必要なレジリエンスを達成するために、組織が運用化することが最も重要なものの1つであると私たちは考えています。そして、業界として、ランサムウェアインシデントの緩和、検知、および対応において長年にわたって学んだ教訓を、今日我々が直面している問題に対処するために活用する必要があると考えています。