INCギャングが使用していたバックアップソフトの痕跡の発見が、暗号化されたデータの復元につながった。
INCランサムウェアグループの攻撃を受けた米国企業12社は、サイバーセキュリティ企業が、ギャングが盗んだデータを蓄積していたクラウドストレージ基盤を発見したことで、暗号化されたデータを復旧できた。
フロリダ州拠点のCyber Centaursの研究者らは木曜日に、ギャングの運用セキュリティ上の隙を突いたと述べた。彼らは、ギャングが被害者データを暗号化し、流出させて自らが管理するクラウドストレージ環境へ移すために使用している、正規のオープンソースバックアップユーティリティ「Restic」が残した痕跡を見つけた。ギャングがResticベースの基盤を定期的に再利用していると仮定したことで、盗難データが投棄されていた、名称非公表のクラウドストレージプロバイダーを突き止めることにつながった。
残念ながら、 Andrew von Ramin Mapp(Cyber Centaursのマネージング・プリンシパル)は、自社の取り組みはギャングにとってせいぜい「不便」程度だった可能性が高いと認めている。というのも、ギャングは新しいクラウド基盤を容易に借りられるからだ。
しかし彼は、この取り組みからCSOや情報セキュリティ責任者が学べる教訓があると述べた:
- バックアップを精査し監査すること。定期的なバックアップスケジュールがある場合、想定外または説明のつかない活動はないか? von Ramin Mappは、犯罪者が自分たちの作業を隠すために、データ流出のタイミングを企業のオフサイトバックアップに合わせることが知られていると指摘する。
- 暗号化されたデータが自社環境から出ていくのを監視し、その行き先を確認すること。このデータは想定外のIPアドレスに送られていないか?
- バックアップソフトウェアとサーバーは、パッチが公開され次第すぐに更新すること。犯罪者は、バックアップアプリケーションを含め、あらゆる種類の未パッチソフトウェアを悪用する。
「おそらくごく少数の」情報セキュリティ責任者しか、自分たちのバックアップソフトが自分たちに対して使われていることに気づいていない、とvon Ramin Mappは述べた。
Trend Microによると、INCギャングは2023年7月に出現した。5か月後には同ランサムウェアのLinux版バイナリが確認された。初期によく使われた戦術は、Citrix Netscaler ADCおよびNetscaler Gatewayの脆弱性を悪用することで、さらにCheck Point Softwareの研究者らも、同ギャングがスピアフィッシングキャンペーンを用いてユーザー認証情報を奪取していると述べている。Cyber Centaursによれば、より小規模またはフラットなネットワークでは、INCのオペレーターは暗号化前のデータ流出にResticを頼ることが多い。一方、より大規模または複雑な環境では、ギャングは既に導入されているVeeamなどのバックアップ基盤を利用することを好む。
Cyber Centaursが呼ばれたのは、米国の顧客のエンドポイント検知・対応(EDR)ソフトが、本番SQL Server上で進行中のランサムウェア実行を警告したときだった。プロセスは迅速に隔離され、RainINC亜種であることが判明した。
しかしさらに深掘りすると、調査担当者は複数のシステムにResticの痕跡があることを見つけた。そこには、名前を変更されたバイナリ、S3風のクラウドバケット基盤へのRestic実行を準備するPowerShellスクリプト、リポジトリ設定変数、ファイルリスト駆動のバックアップコマンドが含まれていた。
この攻撃ではResticは流出に使われていなかったが、Cyber Centaursは、他のインシデントで見られたパターンに基づき、ギャングが常用していると疑った。また、交渉が終わったり企業被害者が支払いを行ったりした後でも、犯罪者が使用する基盤は解体されない可能性が高いとも疑った。
これを踏まえ、インシデント対応チームは、盗難データの送信先となり得るS3風クラウドバケット基盤を識別する特定のパターンを見つけるための、カスタム列挙スクリプトを開発した。スクリプトは、過去に観測されたResticの痕跡から導出した候補リポジトリ識別子の精選リストを走査した。各候補について、リポジトリのエンドポイントや暗号化パスワードなど、脅威アクターが用いた設定スタイルに合わせて環境変数を設定した。次にResticに、利用可能なスナップショットを構造化形式で一覧表示させ、調査担当者が基盤となるデータに触れることなく結果を分析できるようにした。
このスクリプトは、疑わしいリポジトリを変更し得る、あるいは破壊的と解釈され得る操作を明確に回避した。研究者が行ったのは侵入ではなく、フォレンジックの列挙であるとCyber Centaursは強調している。
「リポジトリには、攻撃者自身のツールと設定の意味論を用いてアクセスしており、悪用、改変、妨害は行っていない」と報告書は述べる。「攻撃者の基盤を標的ではなく証拠資料として扱うことで、調査担当者は、持続的で複数被害者にまたがるストレージという仮説を安全に検証し、稀で大規模なデータ復旧活動へとつながる基盤を築くことができた。」
そこで発見されたのは、別々のINCランサムウェア攻撃で被害を受けた、名称非公表で互いに無関係な12社に属する盗難データセットだった。データは暗号化されていたが、暗号化に使われた手段がResticだったため、Cyber CentaursはResticを用いて復号できた。その後、盗難データの出所を確認するために法執行機関へ連絡した。
報告書には、リモートアクセスアプリケーションのAnyDeskを含む、INCが使用した侵害指標(IOC)とツールが記載されている。
また報告書は、Resticを悪用する脅威アクターがしばしばバイナリ名を変更し(例えばwinupdate.exeにするなど)、疑いを避けるために正規の実行パスに依存することが多いとも指摘している。シンプルで効果的な検知手法は、想定されるバックアップ文脈以外でのRestic実行、特にシステムディレクトリやユーザーが書き込み可能な場所からの実行を探し、可能であれば既知のハッシュと組み合わせることだ。
Jon DiMaggio(XFIL Cyber責任者でランサムウェア攻撃の専門家)は、この調査で重要なのは12社分の盗難データが回収されたことだけではなく、ランサムウェア集団が複数の被害者にまたがって基盤を再利用している実態を研究者が明らかにした点だと述べた。「多くのランサムウェア事案は、暗号化を封じ込めてシステムを復旧した時点で終わる」と彼はメールで述べた。「このケースは、攻撃者の運用パターンを追って、彼らが残したものを見つけることに真の価値があることを示している。ランサムウェアは単発の攻撃ではなくビジネスモデルであり、それは規模をもって妨害できる機会があることを意味する、ということを思い出させてくれる。」
ただし、防御側はINCが犯したようなミスに頼って攻撃から救われるべきではない。Cyber Centaursは報告書で、これは「典型的なランサムウェア対応では通常存在しない」突破口だったと述べている。しかし、もしミスがあれば、防御側はそれを活用できる可能性があるとも付け加えた。
インタビューでvon Ramin Mappは、ランサムウェア被害に遭うリスクを下げるのは容易ではないと警告した。攻撃者は、防御側が用いるあらゆる戦術に対応してくるという。被害企業が身代金の支払いを拒否し、ギャングが依存する金銭的報酬を奪うことが助けになる、と彼は指摘した。
「私が組織に対してよく勧めることの一つは」と彼は付け加えた。「サーバーとネットワーク共有における読み取り・書き込みの出力のベースラインを持つことです。ランサムウェアが展開されていれば、これらのサイクルが急激に増加するのが見えるはずです。」
