マシンに対するランサムウェア:攻撃者がITとOTを標的にして産業生産を混乱させることをどのように学んでいるか
少なくとも2017年以降、産業生産および重要なインフラストラクチャ組織に影響を与えるランサムウェアインシデントの公開が大幅に増加しています。 WannaCry、LockerGoga、MegaCortex、Ryuk、Maze、そして現在はSNAKEHOSE(別名Snake / Ekans)のような有名なランサムウェアファミリーは、さまざまな業界で数百万ドルの身代金と担保費用の犠牲者を抱えています。これらの事件はまた、組織が商品やサービスを生産および提供することを可能にする物理的プロセスに重大な混乱と遅延をもたらしました。被害者と産業部門のランサムウェア配布操作の直接の影響について多くの情報が共有されていますが、公の言説は全体像を見逃し続けています。金融犯罪アクターが戦術を日和見主義から侵害後のランサムウェアの展開に進化させるにつれて、生産チェーンをサポートするために不可欠なシステムを標的にすることを可能にする敵対者の内部偵察の増加が観察されました。その結果、ランサムウェアの感染は、企業ネットワークの重要な資産に影響を与えるか、OTネットワークのコンピューターに到達するかのいずれかで、最終製品またはサービスの不十分または遅延という同じ結果をもたらすことがよくあります。産業部門のランサムウェア配布業務の独特のニュアンスを真に理解するには、ITシステムとOTシステムの両方にわたるスキルセットと可視性の組み合わせが必要です。コンサルティング契約と脅威調査から得られた例を使用して、侵害後のランサムウェア操作への移行が、敵対者の産業操作を妨害する能力をどのように促進しているかを説明します。産業部門のランサムウェア配布は、アクターが侵害後の展開に移行するにつれてリスクを増大させるランサムウェア攻撃への従来のアプローチは、主に、マルウェアを拡散してさまざまな被害者からのファイルとデータを暗号化する無差別キャンペーンで構成される「ショットガン」手法に依存しています。このモデルに従うアクターは、被害者を平均500ドルから1,000ドルで恐喝し、できるだけ多くの個人から支払いを受け取ることを望んでいます。このアプローチを採用する初期のランサムウェアキャンペーンは、OTセキュリティの範囲外と見なされることがよくありましたが、産業および重要インフラストラクチャ組織全体を対象とした最近のキャンペーンは、より運用が複雑な侵害後アプローチの採用に移行しています。侵害後のランサムウェアインシデントでは、攻撃者は依然として広範囲に分散したマルウェアに依存して被害者の環境への最初のアクセスを取得することがありますが、ネットワークにアクセスすると、特権アクセスの取得に集中して、ターゲットネットワークを探索し、重要なものを特定できるようになります。ランサムウェアを展開する前のシステム。このアプローチにより、攻撃者は、既知のランサムウェアのインジケーターや動作を検出するのに通常は十分なセキュリティプロセスを無効にすることもできます。アクターは、重要なシステムに影響を与える可能性のあるより広いネットをキャストします。これにより、被害者に最大の苦痛を与えることにより、最終段階の操作の規模と有効性が拡大します。その結果、彼らは交渉するのに適した立場にあり、多くの場合、はるかに高い身代金を要求する可能性があります。これは通常、被害者の認識された支払い能力と身代金を支払った資産自体の価値に見合ったものです。同様の活動に関する技術的な詳細を含む詳細については、FIN6およびTEMP.MixMasterに関する最近のブログ投稿を参照してください。ランサムウェアの日和見的な展開に関連する歴史的な事件は、多くの場合、個々のコンピューターへの影響に限定されていました。これには、インターネットにアクセスできる、セグメント化が不十分、または感染したポータブルメディアにさらされたOT仲介システムが含まれることがありました。 2017年には、NotPetyaやBadRabbitなどのキャンペーンも観察されました。このキャンペーンでは、ワームのような機能を備えたワイパーマルウェアがリリースされ、ランサムウェアになりすまして組織を混乱させました。これらのタイプのキャンペーンは工業生産に脅威をもたらしますが、妥協後の展開の採用は、プロットに3つの大きなねじれをもたらします。脅威アクターが特定の業界または組織をターゲットにするように攻撃を調整すると、可用性要件が高く(公益事業、病院、工業製造など)、身代金を支払う能力が認識されている企業(収益の高い企業など)が主要なターゲットになります。これは、直接市場性のある情報(クレジットカード番号や顧客データなど)を処理する業界を対象とした金融犯罪アクターのターゲティングが拡大し、本番環境の現金化が含まれることを表しています。脅威アクターは、ランサムウェアを展開する前に内部偵察を実行し、ターゲットネットワーク間を横方向に移動するため、ターゲットの最も重要な資産に影響を与え、特権的な位置からネゴシエートするワイドネットをキャストするのに適した位置になります。最も重要なことは、過去に金融関係者がよく使用した戦術、技術、手順(TTP)の多くが、過去のOTセキュリティインシデントの攻撃ライフサイクルの初期段階と中期段階で熟練した関係者が採用したものに似ていることです。したがって、金融犯罪の攻撃者は、OT仲介システムにランサムウェアをピボットして展開し、運用をさらに混乱させる可能性があります。組織化された金融犯罪アクターがOT資産を破壊する能力を実証した侵害後のランサムウェアの展開から金銭的利益を得るアクターの能力は、多くの要因に依存します。その1つは、被害者の組織。その結果、成熟したアクターは、ITおよびビジネスプロセスのみから、物理プロセスを監視および制御するOT資産にも徐々に選択肢を広げることが期待できます。これは、GeneralElectricやHoneywellなどのベンダーの一部の産業用ソフトウェアを含む一連のプロセスを停止した後にのみペイロードを実行するように設計されたSNAKEHOSEなどのランサムウェアファミリで明らかです。一見したところ、SNAKEHOSEのキルリストは、初期トリアージ用の自動ツールで識別されるプロセスの数が比較的少ない(ただし、OT関連のプロセスの数が多い)ため、OT環境に合わせて特別に調整されているように見えました。ただし、プロセスを終了していた関数から手動でリストを抽出した結果、SNAKEHOSEが使用するキルリストは実際には1,000を超えるプロセスを対象としていることがわかりました。実際、LockerGoga、MegaCortex、Mazeなどの他のランサムウェアファミリのサンプルと一緒に展開された非常に類似したプロセスキルリストを確認しました。当然のことながら、これらのコードファミリはすべて、過去2年間、産業組織に影響を与える注目を集めるインシデントに関連付けられています。私たちが特定したOTプロセスを含む最初の強制終了リストは、2019年1月にLockerGogaと一緒にデプロイされたバッチスクリプトでした。このリストは、後でMegaCortexインシデントで使用されたものと非常に似ていますが、OT関連プロセスの明らかなタイプミスなどの注目すべき例外があります。 SNAKEHOSEまたはMegaCortexサンプル「proficyclient.exe4」には含まれていません。 SNAKEHOSEおよびMegaCortexサンプルにこのタイプミスがない場合は、これらのマルウェア作成者の1人がLockerGogaリストからOTプロセスを最初にコピーしたときにエラーを特定して修正したか、LockerGoga作成者が理論上のプロセスを適切に組み込んでいないことを示している可能性があります。ダークウェブの投稿など、一般的な発信元。どのランサムウェアファミリが最初にキルリストでOT関連のプロセスを採用したか、マルウェアの作成者がリストを取得したかに関係なく、マルウェアファミリ全体でこのリストが遍在しているように見えることは、リスト自体が、実装した個々のマルウェアファミリよりも注目に値することを示しています。それ。これらのリストで特定されたOTプロセスは、ターゲット環境からの自動プロセス収集の偶然の出力を表しているだけであり、OTに影響を与えるためのターゲットを絞った取り組みではありませんが、このリストの存在は、金融犯罪者にOTシステムを混乱させる機会を提供します。さらに、金銭的な動機を持つ脅威アクターが引き続き産業部門の組織に影響を与え、OTに精通し、ITシステムとOTシステム間の依存関係を特定するにつれて、産業用ソフトウェアを実行している他のシステムや環境を混乱させる機能を開発し、潜在的に意図するようになると予想されます。製品と技術。 ITシステムとOTシステムの両方でのランサムウェアの展開が産業生産に影響を与えた敵の侵害後の戦略と産業セクターのターゲットに対する認識の高まりの結果、マルウェアがITとOTのどちらに展開されたかに関係なく、ランサムウェアのインシデントが産業生産に効果的に影響を与えました。企業ネットワーク内のサーバーおよびコンピューターからのデータを暗号化するランサムウェアインシデントにより、OTネットワークによって監視されている物理的な生産プロセスが直接的または間接的に中断されました。これにより、最終製品またはサービスの供給が不十分または遅れ、ビジネスチャンスの逸失、インシデント対応のコスト、規制上の罰金、評判の低下、場合によっては身代金の支払いなどの長期的な経済的損失が発生しました。公益事業や公共サービスなどの特定のセクターでは、高可用性も社会の幸福にとって重要です。 ITネットワーク感染により産業生産に影響を与えるランサムウェアの最もよく知られた例は、2019年3月のNorsk Hydroの事件で、ビジネスプロセス管理システム(BPMS)の中断により、複数のサイトが自動化操作をシャットダウンしました。他の付随的な損害の中でも、ランサムウェアは、生産チェーン全体のリソースを管理するために一般的に使用されるITシステム間の通信を中断しました。たとえば製品在庫を含むこれらの情報の流れが中断されたため、従業員は、6,500を超える在庫管理ユニットと4,000の棚を処理するための手動の代替手段を特定する必要がありました。 FireEye Mandiantは、TrickBotが石油掘削装置メーカーでRyukランサムウェアを展開するために使用された少なくとも1つの同様のケースに対応しました。感染は企業ネットワークでのみ発生しましたが、ビジネスへの最大の影響は、Oracle ERPソフトウェアの中断により、会社が一時的にオフラインになり、本番環境に悪影響を及ぼしました。ランサムウェアは、ヒューマンマシンインターフェイス(HMI)、監視制御およびデータ取得(SCADA)ソフトウェア、エンジニアリングワークステーションなど、OTネットワークのITベースの資産に到達したときに同様の結果をもたらす可能性があります。この機器のほとんどは、さまざまなIT脅威に対して脆弱なコモディティソフトウェアと標準オペレーティングシステムに依存しています。 Mandiant Intelligenceは、機密情報源に基づいて、大規模なランサムウェア攻撃のために産業施設がプラントのシャットダウンに見舞われた少なくとも1つのインシデントを認識しています。施設のネットワークが不適切にセグメント化されていたため、マルウェアが企業ネットワークからOTネットワークに伝播し、サーバー、HMI、ワークステーション、およびバックアップが暗号化されました。施設はバックアップを取得するために複数のベンダーに連絡する必要があり、その多くは数十年前のものであり、生産の完全な復旧を遅らせました。つい最近2020年2月、サイバーセキュリティインフラストラクチャおよびセキュリティエージェンシー(CISA)は、侵害後のランサムウェアインシデントが天然ガス圧縮施設のOTネットワーク上の制御および通信資産にどのように影響したかを説明するアラートAA20-049Aをリリースしました。 HMI、データヒストリアン、およびポーリングサーバーへの影響により、可用性が失われ、人間のオペレーターの視界が失われました。これにより、2日間続いた操作の意図的なシャットダウンが促されました。ランサムウェアの影響を緩和するには、ITおよびOT全体で防御が必要ランサムウェアを展開する脅威アクターは、有効性と犯罪ビジネスモデルの両方の点で急速な進歩を遂げ、被害者に高い運用コストを課しています。すべての組織が、ランサムウェア攻撃に関連する安全性と産業上のリスクを評価することをお勧めします。これらの推奨事項は、ビジネスオペレーションに対する他の脅威(マルウェア感染の暗号化など)に直面した場合の回復力の構築にも役立つことに注意してください。すべてのケースが異なりますが、次の推奨事項を強調します。 ITとOTの両方におけるカスタムサービスと実用的なインテリジェンスについては、FireEye Mandiant Consulting、Managed Defense、およびThreatIntelligenceにお問い合わせください。卓上および/または制御されたレッドチーム演習を実施して、ランサムウェアの脅威に対応する組織の現在のセキュリティ体制と能力を評価します。攻撃シナリオ(主に非実稼働環境)をシミュレートして、インシデント対応チームがそのような攻撃を検出、分析、および回復する方法を理解します。運動結果に基づいて回復要件を再検討します。一般に、さまざまな脅威シナリオを繰り返し実践することで、実際のインシデントに対する認識と対応能力が向上します。運用、ビジネスプロセス、およびワークフローを確認して、継続的な産業運用を維持するために重要な資産を特定します。可能な場合は常に、ダウンタイムへの耐性が低い重要な資産に冗長性を導入してください。適切な量と種類の冗長性は組織ごとに異なり、リスク評価と費用便益分析を通じて決定できます。このような分析は、ビジネスプロセスの所有者が関与し、ITとOT全体で協力することなしに実行できないことに注意してください。ネットワークベースまたはホストベースのファイアウォールによってプライマリアセットと冗長アセットを論理的に分離し、その後のアセットを強化します(たとえば、SMB、RDP、WMIなど、ランサムウェアが伝播のために通常使用するサービスを無効にします)。不要なピアツーピアおよびリモート接続を無効にするポリシーを作成することに加えて、これらのサービスおよびプロトコルをホストする可能性のあるすべてのシステムを定期的に監査することをお勧めします。このようなアーキテクチャは、一般的にセキュリティインシデントに対してより回復力があることに注意してください。厳密なバックアッププログラムを確立するときは、バックアップのセキュリティ(整合性)を確保するために特別な注意を払う必要があります。重要なバックアップは、オフラインに保つか、少なくとも分離されたネットワーク上に置く必要があります。目標復旧時間の観点から復旧計画を最適化します。リカバリ期間中、必要な代替ワークフロー(手動を含む)を導入します。これは、重要な資産の冗長性が限られているか、まったくない組織にとって特に重要です。バックアップから回復するときは、回復した資産と組織全体のインフラストラクチャを強化して、ランサムウェアの感染と伝播の再発を防ぎます。 OT境界保護デバイスの明確な所有権と管理を確立して、緊急の企業全体の変更が可能であることを確認します。効果的なネットワークセグメンテーションは、封じ込めおよびアクティブな侵入の間維持する必要があります。標準のオペレーティングシステムとプロトコルを使用してネットワーク化されたワークステーションとサーバーとして定義されている、仲介システムでの攻撃者の侵入活動を探します。システムは物理プロセスの直接制御からさらに離れていますが、攻撃者が存在する可能性ははるかに高くなります。組織はそれぞれ異なり、独自の内部アーキテクチャとプロセス、利害関係者のニーズ、および顧客の期待があることに注意してください。したがって、すべての推奨事項は、個々のインフラストラクチャのコンテキストで慎重に検討する必要があります。たとえば、ランサムウェアの拡散を軽減するには、適切なネットワークセグメンテーションを使用することを強くお勧めします。ただし、予算が限られている組織は、ハードウェアファイアウォールで分離する代わりに、冗長な資産の多様化、ホストベースのファイアウォール、強化を活用することを決定する場合があります。
AmerAsia Company - Beijing AmerAsia China IT Consulting – Data Drill – CaliCoin.io – AmerAsia Report – Reciprocity Project