CISAとFBI、ランサムウェア犯罪グループ「Zeppelin」の手口を公開

今回は「CISAとFBI、ランサムウェア犯罪グループ「Zeppelin」の手口を公開」についてご紹介します。

関連ワード （セキュリティ等） についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。

　米サイバーセキュリティ・インフラセキュリティ庁（CISA）と米連邦捜査局（FBI）は米国時間8月11日、「Zeppelin」というランサムウェアに関するアドバイザリーを公開し、その中で同犯罪者グループが用いている戦術の詳細を明らかにした。このグループは、米国や欧州の大規模な組織を標的にして、多額の身代金を要求してきている。

　Zeppelinは2019年後半に発見された「サービスとしてのランサムウェア」（RaaS）であり、そのキャンペーンでは二重脅迫型の手法が用いられている。かつて「VegaLocker」と呼ばれていたこのランサムウェアは、欧州や北米におけるヘルスケア分野の組織を標的にすることで知られていた。同アドバイザリーによると、防衛関係の請負業者や、教育機関、製造業者、テクノロジー企業なども標的にされており、ヘルスケア業界や医療業界の組織が「特に」狙われてきているという。

　同アドバイザリーによると、Zeppelinの背後にいる脅威アクターらは、RDPと、「SonicWall」のファイアウォールに潜んでいる脆弱性、フィッシング攻撃を用いて被害者のネットワークにも侵入しているという。英国の国民保険サービス（NHS）は2021年に、同グループがWord文書に潜ませた悪意あるマクロを用いてZeppelinを拡散させていると報告していた。ただ、最近になってMicrosoftがOffice上での信頼できないVBAマクロをデフォルトでブロックするようにしたことで、今後こうした拡散方法が問題となる可能性は低くなるかもしれない。

　Zeppelinを用いる脅威アクターらは数千ドル（約数十万円）から、100万ドル（約1億3000万円）を超える身代金を要求することでも知られている。なお同アドバイザリーは、Zeppelinを「統制の取れた組織」による脅威だとするCore Securityのレポートを参考文献として挙げている。

　FBIの調査によって、攻撃者はランサムウェアを展開する前に入念な下準備を実行していることが明らかにされている。例を挙げると、攻撃者はクラウドストレージや、ネットワークのバックアップ先を探し出し、ネットワークの接続形態を調べ上げるのに1～2週間を費やしている。その後、DLL（ダイナミックリンクライブラリー）や実行可能ファイルの形態で、あるいはPowerShellのローダーにラップした形で、マルウェアを展開する。

　Zeppelinの攻撃には、復号鍵が1つだけで済まず、複数必要となるケースもあったという。これは同ランサムウェアが複数回実行された結果だ。こうしたケースでは、実行のたびにネットワーク上のマシン内のファイルに付加されるファイル拡張子（復号鍵の請求に必要となる識別子（ID）で、ランダムに生成される9桁の16進数値）が、複数付加されていた。

　同アドバイザリーには「FBIは、Zeppelinを用いるアクターらが被害者のネットワーク内でマルウェアを複数回実行したことで、異なったID、すなわちファイル拡張子が生成されたケースを確認している。このため被害者は、複数の復号鍵を必要とするようになっていた」と記されている。