Microsoft は、インターネットに公開されているシステムの脆弱性を悪用し、Medusa ランサムウェアを配布する攻撃者グループ Storm-1175 の活動について警告しています。このグループは、最近公表された「N 日」脆弱性を使用して高velocityなランサムウェア攻撃を行います。
Storm-1175 の脅威
Storm-1175 は、主に医療、教育、プロフェッショナルサービス、金融機関を標的としています。このグループは、脆弱性が公表されてからパッチの適用までの一時的な窓を利用して攻撃を行います。
脆弱性の悪用
Storm-1175 は、メールやリモートアクセス、IT 管理プラットフォームなどのインターネットに公開されたインフラストラクチャを主な標的としています。このグループは、Microsoft Exchange や PaperCut のような製品の脆弱性を悪用しています。
攻撃チェーン
Storm-1175 は、初期アクセスからデータ窃取とランサムウェア展開まで数日で行います。一部の場合では、わずか 24 時間でこの攻撃チェーンを完了しています。
Medusa ランサムウェアの展開
Storm-1175 は、セキュリティ制御を変更し、Microsoft Defender Antivirus のレジストリ設定を変更して検出を回避します。その後、高価値データを圧縮し、Rclone を使用して大量のデータを攻撃者のコントロール下にあるクラウド ストレージにエクスフィラートします。
防御策
Microsoft は組織に対して、インターネット公開資産の強化と脆弱サービスのパッチ適用や隔離を推奨しています。また、RMM ツールの厳格な管理やマルチファクタ認証 (MFA) の使用も重要です。
まとめ
Storm-1175 は迅速に動く脅威グループであり、組織はインターネット公開資産を強化し、脆弱性のパッチ適用や隔離を行うことが必要です。これにより、Medusa ランサムウェア攻撃から自社を保護することができます。