分析米国最大手の臨床検査専門企業の一つ、LabCorp Diagnostics 社は、今年初めに米国のアトランタ市を機能不全に陥れたのと同じマルウェアである SamSam と報じられているランサムウェアの攻撃を受けてから 1 週間が経ち、回復モードから復帰した。
LabCorp 社はマルウェアが SamSam であったことを認めていないが、複数の報道では「事情に詳しい関係者」の発言としてそうであると伝えている。
攻撃のニュースが明らかになったのは、同社が7月16日に公式声明を発表し、攻撃の事実とその他の情報のみを記した証券取引委員会(SEC)報告書を提出した時だった。
その後、7月14日頃に発生したこの攻撃は、通知で示唆されていたよりも深刻だった可能性があると報じられている。
アトランタ市のIT機器がランサムウェアに完全に侵入される
続きを読む
CSO Onlineは、調査に詳しい匿名の情報源を引用し、攻撃者はリモートデスクトッププロトコル(RDP)経由でアクセス可能なリソースの資格情報を総当たり攻撃で調べ、ネットワークへのアクセスを獲得し、その後、最初のサーバーを暗号化したと報じた。
LabCorpのセキュリティオペレーションセンターは、1時間以内にマルウェアの拡散を封じ込めたと報じられています。しかし、その短い時間の間に、マルウェアは数千のシステムとサーバーに侵入し、その中には日常業務に重要な数百台の本番サーバーも含まれていたとされています。
攻撃により患者データが漏洩したとは考えられていない。
「システムの全機能をできるだけ早く回復するための作業が継続されており、テスト作業は実質的に再開されており、今後数日間で追加のシステムと機能を回復させるよう取り組んでいます」とラボコープは記者への追加声明で述べた。
LabCorpは、この事件に関する徹底的な調査を継続しており、外部のセキュリティ専門家を起用し、法執行機関を含む関係当局と協力しています。調査の結果、データの盗難や不正使用の証拠は見つかりませんでした。
報道が真実で、ランサムウェアが SamSam であった場合、この攻撃のいくつかの要素が際立っています。まず、一度検出された後も、異常に攻撃的に拡散していることが挙げられます。防御側には、被害を軽減するための時間が何分もなく、数秒しかありません。
これは、SamSamの過去の攻撃において、その設計上の特徴として指摘されていたものです。実行時に、リモート攻撃者がパスワードを使って手動でペイロードを復号します。そのため、自身の痕跡を削除した場合、フォレンジック分析はおろか、検出も困難になります。
2 つ目は、RDP と VNC を一貫して標的とし、攻撃者が弱い資格情報で保護されているリモート アクセス ゲートウェイを探し出して侵害することです。
インディアナ州のハンコックヘルス病院の事件では、犯罪者は悪用可能な RDP サーバーを備えたボックスを見つけて侵入し、接続されたコンピューターにランサムウェアを注入しました。
Shodan などの公開ツールを使用すれば、開いているポートや古いソフトウェア バージョンを見つけることは難しくありません。そこで、防御側が同様の方法で自分のネットワークの開いているポートを徹底的に調べないのはなぜか、という疑問が生じます。
病院がマルウェア感染の治療のため犯罪者の金庫に6万ドルを注入
続きを読む
SamSamの戦略の最終段階は、医療分野の企業を標的とすることです。このマルウェアによる最も悪名高い事件は3月のアトランタ市でのものでしたが、そのわずか数週間前には、医療業務管理ソフトウェアプロバイダーのAllscriptsと、同じくインディアナ州のアダムズ記念病院への破壊的な攻撃が発生し、この標的への偏りが浮き彫りになりました。
その点では、悪質な手段を使う攻撃者はある程度の成功を収めているようだ。身代金は通常5万ドル以下で、被害者の中には身代金を支払った者もいると報告されており、これがさらなる攻撃を助長している可能性がある。
LabCorp 社がおそらく自らの費用で学んでいるように、その代替案は数日、あるいは数週間の混乱を招くことになるでしょう。®
