概要：単一のVPN認証情報が招いた壊滅的被害

大手製造企業が、たった1つの盗まれたVPN認証情報が原因で、迅速かつ壊滅的なランサムウェア攻撃の犠牲となりました。サイバー犯罪グループ「Ignoble Scorpius」によって実行されたこの攻撃は、仮想マシンの広範な暗号化を引き起こし、基幹業務を停止させました。

初期侵入の手口

侵害は、従業員が欺瞞的なボイスフィッシング電話を受けたことから始まりました。攻撃者は会社のITヘルプデスクを装い、従業員を偽のウェブサイトでVPNログイン情報を入力するよう説得しました。Unit42の報告によると、この盗まれた認証情報を使って、攻撃者は検知されることなくネットワークに侵入し、迅速にユーザー権限を昇格させました。

ネットワーク侵入と特権昇格

侵入後、攻撃者は数時間以内にドメインコントローラーに対してDCSync攻撃を実行し、追加の高度な認証情報を収集しました。管理者権限を手に入れた攻撃者は、リモートデスクトップ（RDP）およびSMBプロトコルを介してネットワーク内を移動しました。彼らはAdvanced IP Scannerのような一般的なシステムツールを使用してネットワークをマッピングし、高価値サーバーを特定しました。

長期的なアクセスを維持するため、攻撃者はAnyDeskとカスタムのリモートアクセス型トロイの木馬をドメインコントローラーにインストールし、システム再起動後も存続するようにスケジュールされたタスクとして設定しました。その後、2番目のドメインコントローラーも侵害され、パスワードハッシュのNTDS.ditデータベース全体が露呈しました。

データ窃取とランサムウェア展開の準備

ランサムウェアの起動に先立ち、400GBを超える機密データが、名称変更されたrcloneユーティリティを使用して外部に持ち出されました。さらに、フォレンジックログを消去するためにCCleanerが実行されました。

BlackSuitランサムウェアによる最終攻撃

攻撃の最終段階はAnsibleを通じて実行されました。約60台のVMware ESXiホストにわたる数百台の仮想マシンが、BlackSuitランサムウェアによってほぼ同時に暗号化されました。これにより生産ラインは停止し、甚大な経済的および運用上の損害が発生しました。

迅速な対応と推奨事項

製造業者は直ちにUnit 42を招集し、迅速な対応を主導しました。対応チームは、以下の対策を推奨しました。

• 旧式のCisco ASAファイアウォールを次世代ファイアウォールに交換する。
• ネットワークセグメンテーションを強化する。
• 基幹サーバーへの管理アクセスを制限する。
• すべてのリモートログインに多要素認証（MFA）を義務付ける。
• サービスアカウントをロックダウンし、悪用を防ぐ。

これらの対策の結果、2,000万ドルの身代金要求は拒否され、支払いは行われませんでした。

教訓：多層防御の重要性

この事件は、たった1つのVPN認証情報の侵害が、いかにして悪用、データ窃取、暗号化の連鎖反応を引き起こすかを示しています。組織は、強力な認証、包括的なエンドポイント可視性、自動化された封じ込め、および専門家によるガイダンスを組み合わせた多層防御を展開し、攻撃がエスカレートする前に阻止する必要があります。プロアクティブなセキュリティ対策への投資は、大規模なランサムウェア危機が発生した場合のコストと比較して、飛躍的に大きな効果をもたらします。

---

元記事: https://gbhackers.com/blacksuit-ransomware-breaches-corporate-network/