サイバーニュース.jp

世界のサイバーなニュースを配信

ネバダ州政府システムがランサムウェアに暗号化された経緯

カテゴリ:

概要と背景

ネバダ州は、昨年8月に発生したランサムウェア攻撃に関する詳細な事後報告書を公開しました。この報告書は、米国連邦政府機関によるサイバーセキュリティインシデントに関する数少ない完全に透明性の高い技術報告書であり、攻撃者の全ステップを詳述し、サイバーセキュリティインシデントへの対処方法の模範を示しています。

このインシデントは、60以上の州政府機関に影響を与え、ウェブサイトや電話システムからオンラインプラットフォームに至るまで、不可欠なサービスを混乱させました。しかし、28日後には、身代金を支払うことなく、影響を受けたサービスの復旧に必要なデータの90%を回復しました。

初期侵入の経緯

攻撃者が最初にシステムにアクセスしたのは5月14日でした。州の従業員がシステム管理ツールを使用する際に、トロイの木馬化されたバージョンをダウンロードしたことが原因です。報告書によると、この従業員はGoogleでシステム管理ツールを検索した際、正規のプロジェクトを装った不正なウェブサイトに誘導する悪意のある広告をクリックしてしまいました。

この偽のウェブサイトは、マルウェアが仕込まれた管理ユーティリティを提供し、従業員のデバイスにバックドアを設置しました。脅威アクターは、WinSCP、Putty、RVTools、KeePass、LogMeIn、AnyDeskなどの人気のあるシステム管理ツールを装ったマルウェアを配布するために、検索広告を悪用するケースが増えています。これらのツールはシステム管理者を対象としているため、攻撃者はIT従業員を標的にすることで、ネットワーク上で特権的なアクセス権を得ることを狙っています

攻撃者のネットワーク活動

マルウェアが実行されると、隠されたバックドアが設定され、ユーザーログイン時に自動的に攻撃者のインフラストラクチャに接続し、州の内部ネットワークへの永続的なリモートアクセスを可能にしました。6月26日には、Symantec Endpoint Protection(SEP)が悪意のあるツールを特定し、感染したワークステーションから隔離・削除しましたが、永続化メカニズムは残り、攻撃者は引き続き環境にアクセスできました。

攻撃者は、以下のような活動を行いました。

  • 8月5日:商用リモート監視ソフトウェアをシステムにインストールし、画面記録とキーロギングを実行。
  • 8月14日〜16日:セキュリティ制御を回避するためにカスタムの暗号化されたネットワークトンネルツールを展開し、複数のシステム間でリモートデスクトッププロトコル(RDP)セッションを確立
  • パスワード保管サーバーを含む重要なサーバー間で横方向の移動を行い、26のアカウントの資格情報を取得。
  • 自身の行動を隠蔽するためにイベントログを消去
  • Mandiantのインシデント対応チームは、攻撃者が複数のシステムで26,408ファイルにアクセスしたことを確認し、機密情報を含む6部構成の.ZIPアーカイブを準備。ただし、データの外部流出や公開の証拠は見つからず。
  • 8月24日:バックアップサーバーに認証し、すべてのバックアップボリュームを削除して復旧の可能性を無効化。
  • 仮想化管理サーバーにrootとしてログインし、署名されていないコードの実行を許可するようにセキュリティ設定を変更
  • 同日08:30:18 UTC:州の仮想マシン(VM)をホストするすべてのサーバーにランサムウェアを展開

州知事技術局(GTO)は、約20分後に障害を検出し、28日間にわたる州全体の復旧作業が開始されました。

復旧への取り組みと費用

ネバダ州は、身代金支払いに断固として反対し、影響を受けたシステムとサービスの復旧のために、自社のITスタッフと残業代に頼りました。費用分析によると、50人の州職員が合計4,212時間の残業を行い、州に259,000ドルの賃金コストが発生しました。この対応により、タイムリーな給与処理、公共安全通信の維持、市民向けシステムの迅速な再確立が可能となり、標準的な請負業者料金(1時間あたり175ドル)と比較して、推定478,000ドルを節約しました。

インシデント対応期間中の外部ベンダーサポート費用は、合計で130万ドル強に上りました。

  • Microsoft DART(統合サポート&インフラ再構築):$354,481
  • Mandiant(フォレンジック&インシデント対応):$248,750
  • Aeris Recovery(復旧&エンジニアリングサポート):$240,000
  • BakerHostetler(法務&プライバシー顧問):$95,000
  • SHI (Palo Alto)(ネットワークセキュリティサービス):$69,400
  • Dell(データ復旧&プロジェクト管理):$66,500
  • その他のIRベンダー(各種サポートサービス):~$240,069

ランサムウェア攻撃者の名前は公表されておらず、主要なギャングが恐喝サイトでこの侵入を主張している形跡もありません。

教訓と今後の改善

このインシデントは、ネバダ州のサイバーレジリエンス、すなわち決定的かつ迅速な「プレイブック」行動を示し、称賛に値する透明性をもたらしました。復旧費用と労力にもかかわらず、ネバダ州は信頼できるベンダーの助言を受けて、サイバーセキュリティ防御を改善しました。

報告書は、「GTOは最も機密性の高いシステムを最初に保護することに重点を置き、アクセスを必要不可欠な人員に限定した」と述べています。技術的および戦略的な行動には、古いまたは不要なアカウントの削除、パスワードのリセット、古いセキュリティ証明書の削除などが含まれます。さらに、システムルールと権限が見直され、機密性の高い設定にアクセスできるのは承認されたユーザーのみであることが確認されました。

しかし、州は改善の余地がまだ多くあることを認め、脅威アクターも戦術、技術、手順を進化させているため、特に監視および対応能力の向上のためにサイバーセキュリティへの投資の重要性を認識しています。

元記事: https://www.bleepingcomputer.com/news/security/how-a-ransomware-gang-encrypted-nevada-governments-systems/

投稿をさらに読み込む