TokyoBlackHatNews

infosecurity-magazine.com 4分で読了

ランサムウェアグループがデータ流出にクラウドサービスを利用

SentinelOneによると、クラウドを標的としたランサムウェア攻撃は、悪意ある攻撃者が標的のITシステムを侵害するための一般的な手法となっている。

SentinelLabsの新しいレポートによれば、攻撃者はクラウドプロバイダーのサービスを活用して被害者を直接侵害したり、データを流出させたりするケースが増えている。

一方では、クラウドベースのストレージサービスを狙って被害者を侵害し、恐喝する。もう一方では、身代金の対象とするデータを流出させるためにクラウドサービスを利用する。

サイバーセキュリティプロバイダーの研究部門であるSentinelLabsの脅威リサーチャー、Alex Delamotteは、11月14日に「2024年のクラウドランサムウェアの現状」を公開した。

AmazonのSimple Storage ServiceとMicrosoft Azure Blob Storageが標的に

クラウドサービスは、エンドポイントやWebサーバー基盤のサービスに比べて攻撃対象領域が小さいという利点がある。

しかし、クラウドサービスが広く普及していることが、攻撃者にとって魅力となっており、攻撃者はそれらを侵害する新たな手法を開発している。

大規模に非構造化データを安全に保存・管理・取得できるよう設計されているにもかかわらず、Amazon Web Services(AWS)のSimple Storage Service(S3)やMicrosoft Azure Blob Storageなどのクラウドベースのストレージサービスは主要な標的となっている。

S3バケットは、悪意ある活動の標的として最も頻繁に言及される対象の一つである。

「攻撃者は、書き込み権限が付与された過度に許可の広いS3バケットを悪用します。これは設定ミスの結果であることが多く、また有効な認証情報など別の手段で標的環境内からアクセスされる場合もあります」とDelamotteは説明した。

ある手法は、クラウドサービスプロバイダー(CSP)が実装しているデータ保持措置を悪用する。

例えば、AWS Key Management Service(KMS)では、キーの削除リクエストから恒久的な削除までに7日間の猶予期間が定義されており、ユーザーはS3インスタンスに対する暗号化ランサム攻撃を検知して是正する時間を確保できる。

攻撃者はKMSキーの削除をスケジュールし、被害者環境でキーが恒久的に削除されるまでの7日間の猶予期間を発生させることができる。

これを利用して、データ削除をちらつかせて被害者を脅迫できる。

別の手法は、同様のアプローチでAmazon Elastic Block Store(EBS)ボリュームを標的にする。EBSボリュームは高可用性で耐久性のあるブロックストレージデバイスで、Amazon EC2(Elastic Compute Cloud)インスタンスにアタッチできる。

通常、攻撃者は新しいKMSキーを作成し、EBSボリュームのスナップショットを作成してボリュームを暗号化し、その後、元の未暗号化ボリュームを削除する。

「この手法も7日間のキー削除ポリシーの対象であり、キーが永久に削除される前に顧客が修復できる機会の窓を提供します」とDelamotteは付け加えた。

データ流出にクラウドサービスを活用

さらに、複数のセキュリティベンダーが、脅威アクターが身代金の対象とするデータを流出させるためにクラウドサービスを利用していることを観測している。

SentinelLabsのレポートには次のように記されている。「2024年9月、modePUSHは、BianLianおよびRhysidaのランサムウェアグループが、従来人気の高かったMEGAsyncやrcloneといったツールの代わりに、Azure Storage Explorerを用いて被害者環境からデータを流出させるようになったと報告しました。」

「2024年10月、Trend Microは、悪名高いLockBitランサムウェアグループを模倣したランサムウェア攻撃者が、標的となったWindowsまたはmacOSシステムから盗み出したデータを流出させるためにAmazonのS3ストレージを利用するサンプルを使用したと報告しました。」

SentinelOneの緩和策に関する推奨

クラウドに焦点を当てたランサムウェア攻撃を緩和するために、SentinelOneは次の2つの重要なセキュリティ対策を推奨している。

  • クラウドセキュリティポスチャ管理(CSPM)ソリューションを使用してクラウド環境を発見・評価し、設定ミスや過度に許可の広いストレージバケットなどの問題を警告する
  • すべての管理者アカウントに対して多要素認証(MFA)を必須化するなど、適切なID管理の実践を常に徹底し、すべてのクラウドワークロードとリソースに対して実行時保護を展開する

今すぐ読む:Ransomware-as-a-Serviceのインフラ要素トップ10

翻訳元: https://www.infosecurity-magazine.com/news/ransomware-groups-cloud-services/

ソース: infosecurity-magazine.com
#AWS S3 #CSPM(クラウドセキュリティ態勢管理) #EBSスナップショット暗号化 #KMS(鍵管理) #Microsoft Azure Blob Storage #クラウドランサムウェア #データ流出(エクスフィルトレーション) #ランサムウェアグループ(BianLian・Rhysida・LockBit) #多要素認証(MFA) #設定ミス(過剰権限)

関連記事

Infosecurity Europe:NCSCが警告、不確実性が続く今こそレジリエンス強化に向けた即時行動を

Infosecurity Europe:AIを活用しないサイバーセキュリティチームは「失敗する運命にある」

Infosecurity Europe:バイエル、AI脅威に対抗するためセキュリティ意識向上トレーニングを刷新