ランサムウェア「Medusa」の被害が世界で拡大–その攻撃手法や防衛手段は？

今回は「ランサムウェア「Medusa」の被害が世界で拡大–その攻撃手法や防衛手段は？」についてご紹介します。

関連ワード （セキュリティ等） についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。

　米連邦当局は先ごろ、「Medusa」と呼ばれるランサムウェア攻撃について、個人や組織に注意を呼びかけている。既に被害者は数百に及ぶとされている。米連邦捜査局（FBI）、米サイバーセキュリティ・インフラセキュリティ庁（CISA）、複数国家情報共有分析センター（MS-ISAC）は共同勧告を発表し、その攻撃手法や防衛手段について詳しく説明している。

　Medusaは、RaaS（Ransomware-as-a-Service）の亜種であり、2021年6月に初めて確認された。医療、教育、法律、保険、テクノロジー、製造などの重要インフラ組織を標的としている。RaaSを通じて、ランサムウェアの開発者は実際の攻撃を実行する利用者（アフィリエイト）にサービスを提供する。2月以降だけで、300件以上の被害が発生している。

　当初はクローズドなランサムウェアの亜種として登場した。つまり、マルウェアを開発したサイバー犯罪者たちが、攻撃も実行していたということだ。しかし、時が経つにつれて、このマルウェアはアフィリエイトモデルに移行した。開発者は、身代金交渉などの業務に専念し、攻撃実行は雇われた攻撃者が行う。開発者は通常、ダークウェブのフォーラムやマーケットプレースで、攻撃実行を請け負うアフィリエイトを募集し、仕事の対価として100ドルから100万ドルを提示する。

　アフィリエイトは、標的とする組織への侵入に、主にフィッシングメールを使うが、パッチ未適用のソフトウェア脆弱（ぜいじゃく）性を悪用して企業のリソースにアクセスすることもある。最初のアクセスに成功すると、犯罪者はさまざまなツールを使ってさらに攻撃を進める。

　「Advanced IP Scanner」や「SoftPerfect Network Scanner」といったツールは、脆弱なユーザーやシステム、悪用可能な開放ポートをスキャンするために使用される。「PowerShell」や「Windows」のコマンドプロンプトも、ネットワークやファイルリソースのリストを作成するために使用される。

　次の目標は、ネットワークを横断して盗用や暗号化が可能なファイルを見つけることだ。そのために攻撃者は、「Remote Desktop Protocol」や「PsExec」と組み合わせて、「AnyDesk」「Atera」「Splashtop」などのリモートアクセスソフトウェアを使用する。有効なユーザー名とパスワードを入手すると、PsExecを使用して特定のファイルやプロセスをシステムレベルの特権で実行する。

　攻撃全体を通じて、犯罪者は自らの足跡を隠し、検知を回避する必要がある。そのため、脆弱なドライバーや署名付きドライバーを悪用して、エンドポイント型脅威検知／対応（EDR）ツールをかいくぐることがある。暗号化用のファイルにアクセスする際、検知を回避するために「Certutil」と呼ばれるユーティリティーがよく使用される。さらに、攻撃者はコマンドの痕跡を消去するためにPowerShellの履歴を削除することがある。

　多くのランサムウェアと同様に、Medusaは二十恐喝の手口を用いる。盗まれたデータは暗号化され、被害者はアクセスできなくなるだけでなく、身代金を支払わなければデータが公開されると脅迫される。被害者は48時間以内に身代金要求に応じるよう指示され、さもなければ攻撃者が電話やメールで連絡してくる。

　身代金要求と情報公開までの制限時間が表示される。しかし、期限が切れる前でも、盗まれたデータを購入希望者に売り込むことがある。被害者は暗号通貨で1万ドルを支払うことで、期限を1日延長することができる。

　Symantecが3月に発表した報告書によると、「Spearwing」と呼ばれるグループがMedusaの背後にいるとされる。このグループは2023年初頭から約400件のデータ流出をサイトに掲載しており、実際の被害件数はさらに多いと考えられる。Medusaを使用する攻撃者は、10万ドルから1500万ドルの範囲で身代金を要求している。

　Medusaやその他のランサムウェアから身を守るには、どうすればよいだろうか。共同勧告では、大規模な組織を主な対象とした対応策を挙げている。