シンガポールのサイバーセキュリティ庁は、Dire Wolfによる二重脅迫戦術について警告しています。この戦術はすでに11カ国16組織に影響を与え、業務を麻痺させ、機密データを流出させています。
シンガポールのサイバーセキュリティ庁(CSA)は月曜日、複数の製造業およびテクノロジー分野で標的型攻撃を展開しているランサムウェアグループ「Dire Wolf」について、組織に注意を呼びかける重大警告を発出しました。今年5月に初めて確認されたこのランサムウェアは、発見から1か月以内に世界で16の組織に影響を与えました。
Dire Wolfは二重脅迫モデルを採用しています。被害者のシステムを暗号化すると同時に、身代金要求に応じなければ盗んだデータを公開データリークサイト(DLS)で漏洩させると脅迫します。また、アンチフォレンジック技術や多段階攻撃チェーンを使用し、暗号化の成功を確認し、検知を回避し、復旧作業を妨害します。この二重の脅威により、被害組織はデータ損失と評判の両面で大きなダメージを受けると、シンガポールCSAは指摘しています。
Dire Wolfの内部
Dire Wolfランサムウェアの分析は、TrustwaveがVirustotal Hunting経由で入手したサンプルを用いて実施しました。この分析によると、マルウェアは最初UPXでパックされており、解析を妨げる仕組みになっていましたが、その後Golangベースのバイナリであることが判明しました。
実行されると、Dire Wolfはドロップされたマーカーファイル(「runfinish.exe」)またはミューテックス(「Global\direwolfAppMutex」)を使って、既に感染していないかを確認し、1つのインスタンスのみが動作するようにします。その後、Windowsのイベントログを無効化し、SophosやSymantecなどのセキュリティソリューションを含む75の特定サービスの停止を試み、データベースや生産性ツール、アンチウイルスソフトに関連する59のプロセスを終了させます。
さらに、バックアップの削除、復旧機能の無効化、イベントログの消去などのコマンドも実行し、復旧作業を大幅に困難にします。また、強力なCurve25519およびChaCha20暗号化を備え、被害者ごとに固有の認証情報が記載された交渉用ポータルへのランサムノートが残されます。身代金要求額は最大50万ドルにも上ります。
専門家によれば、これらの戦術により、通常のランサムウェアよりも検知・復旧・抵抗が困難になっています。
「Dire Wolfはすでに米国、タイ、台湾、シンガポール、イタリア、インドを含む11カ国で少なくとも16の被害者に影響を与えています。アジアおよび世界のデータ処理、電子請求、プライバシーサービスプロバイダーなど、製造業とテクノロジー分野が最も高いリスクにさらされています。その他にも会計、医療、エンジニアリング、建設など、機密顧客データを扱うあらゆる企業がリスクに直面しています」とEIIRTrend & Pareekh ConsultingのCEO、Pareekh Jain氏は述べています。
グローバル企業への波及効果
Dire Wolfランサムウェア攻撃による世界的なビジネスへの影響は大きく、多層的かつ高いインパクトをもたらす脅威となっています。
「この攻撃は特に製造業やテクノロジー分野で業務やサプライチェーンを直接混乱させ、生産の遅延、収益損失、顧客への影響をもたらします」とTechInsightsのアナリスト、Manish Rawat氏は述べています。「身代金要求額は6桁に達し、大企業にプレッシャーを与えるとともに、サイバー保険のコストにも影響を及ぼしています。」
Rawat氏は、即時のダウンタイムにとどまらず、公開データ漏洩が評判の失墜を加速させ、特に規制産業ではコンプライアンスや契約上のペナルティを引き起こすと付け加えています。さらに、迅速かつ標的を絞った攻撃キャンペーンは防御側のリソースを圧迫し、組織が長期的なレジリエンスよりも危機対応に注力せざるを得なくなります。
防御が不十分なポイント
Dire Wolfは、多くの企業が当然と考えている前提を狙っていると専門家は警告しています。
Rawat氏によると、組織は依然として、1つのエンドポイントが侵害された後のネットワーク内での横移動リスクを過小評価しています。Dire WolfのGolangコードは、プラットフォームをまたいで迅速に拡散可能です。また、単純なバックアップ以外の復旧メカニズムへの注意が不十分であり、スナップショットやシャドウコピー、自動復旧ルーチンを無効化するランサムウェアによって、隠れた脆弱性が露呈します。
Jain氏は、認証情報の管理の甘さやフィッシング対策の不備が、フィッシング添付ファイルやクレデンシャルスタッフィングによる侵入を容易にしていると指摘しています。特に多要素認証が導入されていない場合は要注意です。
CSAは管理者に対し、リストされたIOC(インジケータ・オブ・コンプロマイズ)を監視し、イベントログやセキュリティログで不審な活動を確認するよう助言しています。また、複数のバックアップを確保し、テストを行い、適切なセキュリティコントロールを適用してランサムウェアの検知と封じ込めを行う必要があります。
企業は、標準的なバックアップやパッチ適用を超えた、積極的かつ多層的なランサムウェア対策を講じる必要があります。「バックアップやパッチ適用だけでなく、二重脅迫型ランサムウェアに対する多層防御が必要です。イミュータブルなオフラインバックアップは、ネットワーク上のコピーが消去されても復旧を可能にします。高度なメール・エンドポイント保護、行動分析、フィッシング耐性のある多要素認証、フィルタリングによる悪意ある侵入経路の遮断も重要です」とJain氏は付け加えています。
「サードパーティリスクの管理も重要であり、MSPやベンダーにも同等のセキュリティ基準を求める必要があります。さらに、積極的な脅威ハンティングやインテリジェンス共有によって、Dire Wolfのような新たな脅威を拡大前に検知できます」とRawat氏は述べています。
企業はランサムウェアを技術的リスクとビジネスリスクの両面で捉え、システム復旧だけでなく、評判や規制上の影響にも備える必要があります。
ニュースレターを購読する
編集部からあなたの受信箱へ
下記にメールアドレスを入力して開始してください。