このグループは初期アクセスから24時間以内にランサムウェア展開まで移行しており、公開されているウェブシステムと縮小するパッチ期間がいかにエンタープライズリスクを高めるかを強調しています。
Microsoftは、Medusaランサムウェアに関連するサイバー犯罪グループStorm-1175が、脆弱なウェブ対応システムを迅速な攻撃で悪用しており、初期アクセスからデータ盗難およびランサムウェア展開まで24時間以内に移行することがあると警告しました。
同社は、このグループがオーストラリア、英国、および米国のヘルスケア、教育、専門サービス、および金融セクターの組織を重点的に標的にしており、ランサムウェア関連グループが防御者がパッチを適用したり侵害を発見したりする前にどれほど迅速に公開されているペリメータシステムを悪用できるかを示していると述べました。
Microsoftはまた、Storm-1175が場合によってはゼロデイの脆弱性を公開前に使用していると述べました。
「脅威アクターは通常N-day脆弱性を使用していますが、Storm-1175がゼロデイエクスプロイトを活用している事例も確認しており、場合によっては公開脆弱性開示の1週間前にそれを使用していました」とMicrosoftはブログポストで述べています。「脅威アクターは複数のエクスプロイトをチェーンして侵害後のアクティビティを有効にしていることも確認されています。」
Microsoftは、このグループが2023年以降、広く使用されているエンタープライズ製品全体で16以上の脆弱性を悪用しており、複数の場合にエクスプロイトをチェーンして永続性を確立し、認証情報を盗み、セキュリティツールを改ざんし、ランサムウェア展開を加速させたと述べています。
「ここで見ているのは伝統的な『在住時間』のナラティブの終焉です」と、IDCアジア太平洋地域のセキュリティサービスのシニア調査マネージャーであるSakshi Groverは述べました。「これはもはや攻撃者がネットワーク内に静かに座っている問題ではありません。これはスピードと規律ある実行についてです。Storm-1175は良く油を注したパイプラインのように動作しています。初期アクセス、昇格、横展開、データ流出、およびランサムウェア展開、すべてが1日に圧縮されています。ほとんどのエンタープライズはそのペースで構築されていません。」
Groverは、多くの組織にとってより大きな弱点は検出ではなく対応であると述べました。彼女は、多くの企業が影響を受けたシステムを分離し、アクセスを取り消すのに依然として時間がかかりすぎており、これが攻撃者がチームが対応を封じ込めることができる前にネットワークを移動する時間を与えていると述べました。
サイバーセキュリティアナリストのSunil Varkeyは、より高速なランサムウェア操作へのシフトは、複数日または週単位の在住時間を想定する伝統的な検出および対応モデルはもはや十分ではないことを意味していると述べました。特に企業がインターネット公開アセットのパッチ適用と初期アクセス後の横展開の封じ込めに遅い場合に。
「最も効果的な対応は、攻撃表面の積極的な削減を中心とした積極的な戦略です。すべてのウェブ対応およびクリティカルシステムの脆弱性および設定ミスの迅速な修復を優先し、強力なネットワークセグメンテーションと分離を組み合わせることです」とVarkeyは述べています。
企業が後れている場所
多くのエンタープライズはインターネットに公開されているものをリアルタイムで表示することができていないと、Greyhound ResearchのチーフアナリストであるSanchit Vir Gogiaは述べました。彼はこれを企業がサイバーリスクを管理する方法の基本的な弱点と呼びました。
「攻撃表面管理を今日実行する方法はまだ古い考え方を反映しています」とGogiaは述べました。「アセットを発見し、スキャンし、問題を優先し、修復をスケジュールします。それは整理されており論理的ですが、十分に高速ではありません。環境は常に変化しています。システムはプロジェクト用に起動され、便利さのためにインターネットに開放され、その後放置されます。時間の経過とともに、これらは中央チームにとって見えなくなりますが、攻撃者には見えたままです。」
Gogiaは、問題が分断された所有権によって悪化していると述べました。インターネット対応システムはしばしば異なるチームに及び、責任を曖昧にし、リスクが出現したときの対応を遅くします。
Storm-1175はその正確なギャップを悪用しているようです。脆弱性間の急速なシフトとチェーンされたエクスプロイトの使用は、攻撃者が外部曝露の最新ビューがないエンタープライズを利用していることを示唆しています。
Confidisの創業者兼CEOであるKeith Prabhuは、継続的な追跡およびパッチ適用が必要なオープンソースライブラリおよび他のコンポーネントの広範な使用が仕事をさらに難しくしていると述べました。
「Storm-1175のようなスマートな攻撃者はそのようなシステムを迅速にフィンガープリントし、複数のエクスプロイトをチェーンするカスタム攻撃を開発できます」とPrabhuは述べました。「この複雑なテクノロジースタックの効率的なパッチ管理は、特にインターネット公開システムにおいて、エンタープライズ攻撃表面管理における最大の弱点です。」
