この記事を書いてくれた Sophos Rapid Response の Bill Kearney に感謝します。
最近の Sophos 2021 Threat Report を読んでいただければ、ランサムウェアではないすべてのマルウェアに関するセクションが意図的に含まれていることが分かるでしょう。
確かに、ランサムウェアは最近のメディアの見出しを独占していますが、サイバー犯罪はランサムウェアの攻撃をはるかに超えています。
実際、以前にも述べたように、多くのランサムウェア事件は、最初にネットワークに侵入した他のマルウェアが、後でランサムウェアを持ち込むことによって発生しています。
実際、サイバー犯罪者はユーザー、企業、またはその両方からお金を搾取する他の方法をたくさん持っているので、多くのネットワーク侵入はマルウェアにまったく関与しません。
Sophos Rapid Response チームが最近遭遇した例を紹介します。この日和見的なネットワーク侵入は、通常のランサムウェアやデータ盗難攻撃ほど巧妙ではありませんが、危険で不穏な雰囲気を漂わせています。
非常に簡単に言うと、詐欺師たちは、できるだけ早くできるだけ多くのギフトカードを購入するために、アクセスできる限り多くのアカウントを狙ったのです。
つまり、ギフト カードのコードを受け取ることは、プリペイド クレジットカードの番号、有効期限、セキュリティ コードを手に入れるようなもので、大まかに言えば、コードを持つ人は誰でもそれを使うことができます。
ギフトカードは意図した受取人だけが使うもので、譲渡できるものではありませんが、受取人が選択すれば、他の誰かに使わせることを止めることはあまりできず、それはサイバー犯罪のアンダーウェブで販売することができることを意味します。
そして、200 ドル分のギフト券が、たとえば額面の半分の値段でオンラインで違法に販売されるのは、たいしたことではないと思われますが…
… 会社全体のユーザー (この話では、会社の VPN は約 200 人をサポート) にアクセスできる詐欺師は、1 つのプリペイド ギフト カードだけでなく、何百ものプリペイド ギフトカードを短期間に取得しようとする可能性もあるのです。
このケースの犯罪者は、犠牲者が個々の従業員であるか、会社そのものであるか、あるいはその両方であるかを気にしていません。
Rumbled and Repelled
良いニュースは、ラピッドレスポンス チームが彼らをネットワークから追い出すことができる前に、詐欺師が他人のお金を800ドル使うところまでしかできなかったこと、そして知る限り、不正な購入は検出されて時間内に取り消され、誰も損をすることはなかったということです。
おわかりのように、詐欺師が早期に発見され撃退された主な理由は、影響を受けた企業のシステム管理者が異変を察知してすぐに行動したためです。
先週の Naked Security Live ビデオ「脅威を打ち負かす」をご覧になった方は、ビデオの最後のヒントで、次のように述べたことをご存知でしょう:
ネットワークに不正者がいる可能性を示すあらゆる情報は、見る価値のある情報です。 それは、キッチンで煙探知機が鳴ったのを聞いて、「前回はやかんの蒸気で間違って鳴ったから、今回はそうだと思うことにしよう」と考えるようなものです。 今回は、すでに火がついているコンロの上の何かかもしれません。
Sophos Rapid Response チームが迅速に反応して攻撃に対処できたことを誇りに思いますが、肝心なのは、被害者が最初に適切な対応を迅速にトリガーしたことです。
How it happened
これらの詐欺師には後始末をする時間はありませんでしたが、あるいは、いずれにせよそのつもりはなかったかもしれません。
まず、どのように侵入したのか正確にはわかりませんが、わかっていることは、
- 被害者のVPNサーバーは数ヶ月間パッチが適用されていなかったということです。 これだけでも、不正侵入には十分だったかもしれません。古いバージョンに悪用され、理論的には不正侵入を許す可能性がありました。
- VPN サーバーは、2FA を必要とするように設定されていませんでした。 つまり、1人のユーザーからパスワードを盗むことに成功すれば、彼らにとっては十分な前線基地となった可能性があるということです。 (パッチが適用されていない脆弱性にもかかわらず、今回の攻撃者はこの方法で侵入したと思われます。)
- 一度 VPN の「内部」に入ると、悪者は内部で RDP を使用してコンピュータからコンピュータに移動することができました。 つまり、ユーザーのコンピュータでウェブブラウザを開き、個人の電子メールアカウント(GmailやOutlook.comなど)を含め、ログアウトしていないオンラインアカウントを確認することができたのです。
- 不正者は、個々の電子メール アカウントを使用して、パスワードのリセットを大量に実行しました。 キャッシュされた認証情報により、電子メールアカウントにアクセスすることはできますが、ユーザーがログアウトしているため、他の興味深いアカウントにアクセスできないコンピュータ上で、電子メールアカウントを介してパスワードリセットを行いました。
幸いなことに、この方法で攻撃されたユーザーのうち、購入時に自動的に再利用できるようにクレジットカード情報を保存していた人はごくわずかだったようで、そのため犯人は発見されるまで数百ドルのギフトカード購入にとどまったと思われます。
どうやら、アカウントに戻るために変更したパスワードをリセットする必要があった多数のユーザーは、オンライン ショッピング カートで購入するためにギフト カードが並んでいることに気づきましたが、詐欺師はこれらの購入を完了することができなかったのです。
(詐欺師が購入できなかったものを残したのは、後始末をする前に捕まったからなのか、後で正規のアカウント所有者が見落として間違って購入することを望んだのか、スピード重視で後始末を気にしなかったからなのかは分かりませんが。)
But there’s more
多くの攻撃と同様に、この攻撃も目的は一つではありませんでしたが、「売り物」を手に入れることが主な動機であったと思われます。
犯人はまた、ネットワーク上の興味深いファイルを探すために、人気のある無料のファイル検索ツールをダウンロードしてインストールしました。
このツールはログファイルを残し、犯人が会社とそのスタッフの両方に関する個人情報や機密データを活発に探していたことを明らかにしています。
犯人たちが探していたファイルからどれだけ取得できたかはわかりませんが、彼らが何に興味を持っていたかはわかっています。
私たちが知る限り、ファイル検索はこれらの犯罪者にとって二次的な興味であったようです。彼らは、ネットワークのできるだけ多くのユーザーに対して不正な購入を行うために、断固として、かつ執拗に試みました。
結局のところ、プライベートであるはずの個人および企業データも、サイバー犯罪の地下では、他の犯罪者に転売するためだけでなく、犯罪行為をさらに助長する手段として価値があるのです。
Rapid reaction pays off
幸いにも、これらの詐欺師は攻撃の早い段階で行き詰まったようです。
おそらく、思うように多くのユーザーのメール アカウントにアクセスできず、イライラして、アクセスを広げるために会社関連の各種アカウントのパスワードをリセットしたのだと思われます。
その結果、システム管理者の1人を含むユーザーが、さまざまな会社のシステムからロックされるという副作用が生じました……。
上で述べたように、どんな情報でも良い情報です!
何をすべきか?
推測で次々とメールアカウントにログインするこれらの詐欺師の速度と決意は、深層防護がなぜ重要かを見事に思い出させてくれるものです。 この記事で紹介されている脆弱な VPN は、おそらくこのケースで詐欺師がアクセスする手段ではありませんでしたが、いずれにせよ、内側に向かう可能性のある経路でした。 しかし、いずれにせよ、侵入経路の可能性があるのです。 外部 VPN と内部 RDP サーバーの両方で 2 つ目の認証要素を使用すれば、それだけでこれらの詐欺師を締め出すのに十分だったかもしれません。