連邦法執行機関によると、昨年の夏から活動しているランサムウェア・アズ・ア・サービス(RaaS)グループが米国の重要インフラを標的にしているという。
FRBによると、対象には金融サービス、製造業、政府部門で使用される資産が含まれる。
FBI、財務省、金融犯罪取締ネットワーク(FinCEN)が先週末に発表した共同勧告[PDF]によると、AvosLockerランサムウェアは全国の複数の被害者を標的にしているという。
このアドバイザリでは、企業がAvosLockerの被害に遭っているかどうかを判断するのに役立つ様々な侵害指標(IoC)と、実施可能な緩和策のリストが示されています。これらの対策には、データ復旧計画の策定やネットワークセグメンテーションの実装から、定期的なデータのバックアップ、ウイルス対策ソフトウェアのインストールと更新、オペレーティングシステムのアップデートとパッチのインストールまで、多岐にわたります。
犯罪者が企業に侵入:ランサムウェア・アズ・ア・サービス、まとめ買い割引など
続きを読む
RaaS の性質 (マルウェア開発者が悪意のあるコードを他の脅威アクターに実質的に貸し出す) と AvosLocker の動作のため、IoC を特定することは困難です。
「AvosLockerは、関連会社が標的を感染させた後、身代金交渉や、盗み出した被害者データの公開とホスティングを直接処理していると主張している」と連邦政府の勧告は述べている。
「その結果、AvosLocker の侵害指標 (IOC) は、AvosLocker マルウェアに固有の指標と、侵入に関与した個々の関連会社に固有の指標の間で異なります。」
AvosLockerは昨年、脅威インテリジェンスグループの注目を集めました。Palo Alto NetworksのUnit 42の研究者は2021年7月、Dread(Redditのようなダークウェブのディスカッションフォーラム)で見かけたAvosLockerという新しいRaaSの広告について記事を書きました。この広告では、ランサムウェアの特徴が概説され、このマルウェアを利用する関係者に対し、AvosLockerの運営者が交渉や恐喝行為を担当することを知らせていました。
AvosLockerの背後にいるグループ(通称「Avos」)は、ロシアのフォーラムXSSで人々を勧誘しようとしていたことも確認されている。
当初、このランサムウェアはWindowsベースのマシンを標的としていたが、サイバーセキュリティ企業Qualysの主任研究員、ガンシャム・モア氏は今月初めのブログ投稿で、AvosLockerの新しい亜種がLinuxシステムを攻撃しているのが確認されたと述べている。
「最近、彼らはLinuxシステムの暗号化サポートを追加し、特にVMware ESXi仮想マシンを標的にしています」とモア氏は記している。「これにより、この攻撃グループはより幅広い組織を標的にすることが可能になりました。また、ESXi仮想マシンを停止させる機能も備えているため、特に厄介な攻撃となっています。」
AvosLockerグループの技術的詳細を説明する中で、米国当局は、このランサムウェアが被害者のサーバー上のファイルを暗号化し、「.avos」拡張子にリネームし、サーバー上に身代金要求のメモを置き、AvosLockerの.onion決済サイトへのリンクを提供すると指摘しました。一部のアフィリエートは仮想通貨Moneroでの支払いを希望していますが、ビットコインは10~25%の手数料で受け付けています。
さらに、一部の攻撃者は被害者に電話をかけ、支払いサイトへ誘導し、そこで支払いを交渉させようとしています。一部のランサムウェアグループは被害者との交渉を持ちかけています。サイバーセキュリティ企業のトレンドマイクロによると、こうしたグループにはAvosLockerだけでなく、Conti、Lockbit 2.0、Hive、HelloKittyも含まれます。
「これらのランサムウェアグループはそれぞれ、被害者がデータを回復しようとしている間に、交渉や『サポート』を提供するために固有の被害者識別子を使用している」とトレンドマイクロの研究者は昨年のブログ投稿に記している。
RaaS脅威グループは、被害者との連絡に電子メールを使用していました。しかし、被害者組織ごとに固有の被害者IDを使用するようになり、身代金要求メッセージにこれらのIDを使用し、身代金ファイル自体をグループのTorまたは平文ウェブサイトにアップロードさせることで、被害者が特定のチャットサイトにアクセスできるようにしていると、研究者らは述べています。
連邦政府の勧告によると、AvosLockerのケースでは、脅威アクターは、身代金の交渉または支払いに応じない場合、被害者から盗み出したデータを公開リークサイトに公開すると脅迫しています。公開リークサイトには、ランサムウェアの被害者と、被害者のネットワークから盗み出されたとされるデータのサンプルがリストされており、組織にとって侵害のさらなる証拠となります。
脅迫は必ずしもそれだけに留まりません。AvosLockerの関連会社の中には、被害者に電話をかけ、身代金を支払わなければデータを公開するだけでなく、分散型サービス拒否(DDoS)攻撃を実行すると脅迫する者もいます。
- ワイパーを内蔵したLokiLockerランサムウェアファミリーが発見される
- BlackMatterランサムウェア集団、ウクライナでの逮捕を受けて再び解散を発表
- 分析:ドロッパー・アズ・ア・サービスの悪意ある人物が、潜在的に数千人の被害者にマルウェアを配布するために金銭を支払う
- Contiランサムウェア集団のソースコードが流出
AvosLocker の漏洩サイトには、被害者とされる国として、米国、カナダ、ドイツ、スペイン、ベルギー、英国、シリア、サウジアラビア、台湾など、幅広い国が挙げられている。
重要インフラは、ランサムウェア集団の標的としてますます人気が高まっています。昨年は、ガス供給業者のColonial PipelineがDarkSideグループの攻撃を受け、440万ドルの身代金を支払ったという2つの注目すべき事件が起こりました。また、世界的な食肉供給業者であるJBS FoodsはREvilに1100万ドルを支払いました。
FBIは今月初め、Ragnar Lockerランサムウェア脅威グループが、製造、エネルギー、金融サービス、政府、IT部門にわたる米国の少なくとも52の重要インフラ組織を攻撃したと警告した。®
