概要

大手製造企業が、たった1組の盗まれたVPN認証情報が原因で、迅速かつ壊滅的なランサムウェア攻撃の被害に遭いました。サイバー犯罪グループIgnoble Scorpiusによって実行されたこの攻撃は、仮想マシンの広範な暗号化を引き起こし、基幹業務を停止させました。

初期侵入の手口

この侵害は、従業員が欺瞞的なボイスフィッシング電話を受けたことから始まりました。Unit42の報告によると、発信者は会社のITヘルプデスクを装い、従業員を偽のウェブサイトでVPNログイン情報を入力するよう仕向けました。盗まれた認証情報を使って、攻撃者は検出されることなくネットワークに侵入し、迅速にユーザー権限を昇格させました。

ネットワーク内での活動

数時間以内に、攻撃者はドメインコントローラーに対してDCSync攻撃を実行し、追加の高レベル認証情報を収集しました。管理者権限を手に入れた侵入者は、リモートデスクトップおよびSMBプロトコルを介してネットワーク内を移動しました。彼らはAdvanced IP Scannerなどの一般的なシステムツールを使用してネットワークをマッピングし、価値の高いサーバーを特定しました。長期的なアクセスを維持するため、彼らはAnyDeskとカスタムのリモートアクセス型トロイの木馬をドメインコントローラーにインストールし、システム再起動後も存続するようにスケジュールされたタスクとして設定しました。その後、2番目のドメインコントローラーも侵害され、パスワードハッシュのNTDS.ditデータベース全体が露出しました。400GBを超える機密データが、名前を変更したrcloneユーティリティを使用して抜き取られました。ランサムウェアを起動する前に、攻撃者はCCleanerを実行してフォレンジックログを消去しました。

ランサムウェアの実行と影響

攻撃の最終段階はAnsibleを通じて実行されました。約60台のVMware ESXiホストにわたる数百台の仮想マシンが、BlackSuitランサムウェアによってほぼ同時に暗号化されました。これにより生産ラインは停止し、甚大な経済的および運用上の損害が発生しました。

対応と推奨事項

製造企業は直ちにUnit 42を招集し、迅速な対応を主導しました。対応チームは、古くなったCisco ASAファイアウォールを次世代ファイアウォールに交換し、ネットワークセグメンテーションを強化し、基幹サーバーへの管理アクセスを制限するよう助言しました。すべてのリモートログインには多要素認証（MFA）が義務付けられ、サービスアカウントは悪用を防ぐためにロックダウンされました。その結果、2,000万ドルの身代金要求は拒否され、支払いは行われませんでした。

教訓

この事件は、たった1組のVPN認証情報の侵害が、いかに悪用、データ窃盗、暗号化の連鎖反応を引き起こすかを示しています。組織は、強力な認証、包括的なエンドポイント可視性、自動化された封じ込め、および専門家のガイダンスを組み合わせた多層防御を展開し、攻撃がエスカレートする前に阻止する必要があります。プロアクティブなセキュリティ対策への投資は、本格的なランサムウェア危機のコストと比較して、飛躍的に大きな効果をもたらします。

元記事: https://gbhackers.com/blacksuit-ransomware-breaches-corporate-network/