概要:9日間にわたる多段階ランサムウェア攻撃
ある高度な脅威アクターが、9日間にわたる多段階のランサムウェア攻撃を実行しました。この攻撃では、侵害されたリモートデスクトッププロトコル(RDP)の認証情報を利用して企業ネットワークに侵入し、機密データを持ち出した後、重要インフラ全体にわたってLynxランサムウェアを展開しました。
攻撃は、事前に入手した認証情報を使用したRDPログインで開始されました。これは、脅威アクターが初期アクセスブローカー、認証情報窃取型マルウェア、または過去のデータ漏洩によるパスワードの再利用を通じて、有効な認証情報を入手していたことを示唆しています。特筆すべきは、不成功な認証試行が一切なかったことであり、攻撃者が攻撃を開始する前に有効な認証情報を所持していたことがうかがえます。
迅速な特権昇格と持続化
初期アクセスからわずか10分以内に、脅威アクターは別の侵害されたドメイン管理者認証情報を使用して、ドメインコントローラーに接続し、特権を昇格させました。この迅速な特権インフラへの移行は、攻撃者が複数の認証情報セットにアクセスし、周到な準備をしていたことを明らかにしています。
ドメインコントローラー上で、攻撃者は正当なシステムアカウントを模倣した「administratr」、「Lookalike 1」、「Lookalike 2」という3つの新しいユーザーアカウントを作成し、持続化を確立しました。これら3つのアカウントはすべて、有効期限のないパスワードで構成され、ドメイン管理者を含む特権セキュリティグループに追加され、初期の認証情報が発見されたとしても持続的なアクセスを確保しました。
システム的なネットワーク偵察
その後の6日間で、脅威アクターはドメイン管理者認証情報で構成されたSoftPerfect Network Scannerを使用して、広範なネットワーク偵察を実施しました。このスキャナーは、環境全体のファイル共有、ワークステーション、ネットワークインフラを列挙するために緻密に設定されていました。このツールを補完するために、攻撃者はネットワーク悪用ユーティリティであるNetExecを展開し、ポート445でパスワードスプレー攻撃とSMB列挙を実行し、複数のドメインコントローラー、ハイパーバイザー、ファイルサーバーを特定することに成功しました。
偵察活動は、バックアップサーバー、ハイパーバイザーインフラ、およびファイアウォールやVPNデバイスを含むネットワークアプライアンスへのアクセスと並行して行われました。
データ窃取と壊滅的なバックアップ破壊
攻撃の6日目には、脅威アクターは複数のファイルサーバーを標的とし、7-Zipを使用してネットワーク共有から機密ファイルをアーカイブに圧縮した後、一時的なファイル共有サービスであるtemp.shにアップロードしました。複数の大規模アーカイブの作成と相関するアップロードポータルへの多数のアクセスが確認され、大量のデータ持ち出しが確定しました。
攻撃は9日目にクライマックスを迎えました。脅威アクターはRDP経由でバックアップサーバーに接続し、壊滅的な二段構えの戦略を実行しました。まず、Veeam Backup & Replicationコンソールを使用して、既存のバックアップジョブを削除し、設定データベースからバックアップを削除しました。これにより、組織の復旧オプションは事実上排除されました。この行動は、ランサムウェアオペレーターにとって極めて重要であり、身代金を支払うことなくシステムを復元する能力を犠牲者から奪います。
Lynxランサムウェアの展開と攻撃インフラ
バックアップ破壊の直後、脅威アクターはLynxランサムウェアの実行ファイル「w.exe」を複数のバックアップサーバーおよびファイルサーバーに展開しました。ランサムウェアは、ターゲットディレクトリ(E:ドライブ)、高速暗号化モード(ファイルの5%)、プリンターでの身代金要求ノートの抑制を指定するパラメーターで実行されました。
初期アクセスから暗号化までのランサムウェア展開時間(TTR)は約178時間で、9暦日にわたって分散されており、偵察に十分な時間を確保しつつ、運用上のセキュリティを維持していました。すべての攻撃者活動は、Railnet LLCインフラ上でホストされているIPアドレスから発信されており、これはサイバー犯罪活動を可能にすることで知られるロシア拠点のブレットプルーフホスティングプロバイダーであるVirtualineのフロントと特定されています。セッション全体で「DESKTOP-BUL6K1U」という同じホスト名を一貫して使用していること、および計画的なアプローチは、単一のオペレーターまたは、詳細な準備と既存のネットワークアクセスを持つ十分に調整されたチームを示唆しています。
推奨される対策
この侵入は、RDPエンドポイントでの多要素認証(MFA)の実施、包括的なオフラインバックアップの冗長性維持、および初期侵害を防ぐための堅牢な認証情報衛生管理の極めて重要な重要性を強調しています。