Kaseyaランサムウェアサプライチェーン攻撃：知っておくべきこと

2021年7月5日更新: 本ブログは、ランサムウェアがどのように実行されたかについての詳細を加えて更新されており、追加の保護対策情報についても掲載しています。

Kaseya VSAソフトウェアと、それを利用する複数のマネージドサービスプロバイダ（MSP）が巻き込まれたサプライチェーン攻撃により、数百もの組織がREvil（別称Sodinokibi）ランサムウェアの標的になりました。攻撃のニュースは昨日（7月3日金曜日）伝えられ、VSAサーバーをシャットダウンしてセキュリティ侵害を防止するようKaseya社がVSAユーザーに勧告すべきと促しました。米国では7月4日の週末が祝日と重なったため、多くの組織で従業員の配置が手薄になると見込み、そのタイミングを狙って攻撃が行われた可能性があります。

シマンテックのお客様は保護されていますか？

はい。この相次ぐ攻撃については、 シマンテックのエンドポイント製品が、ランサムウェアペイロードの配信で使用されるツールを先回りしてブロックしました。

どれほどの組織が影響を受けるのでしょうか？

Kaseya社によると、影響を受けた顧客の割合はごくわずかで、「現在のところ世界中で推定40社未満では」とコメントしています。しかし、これらの各組織は多くの顧客を抱えるMSPである可能性もあります。最新の報告では、被害者の数は数百にのぼるのではないかとささやかれています。

こうした攻撃の中、 REvilはどのようにしてコンピュータに配信されたのですか？

攻撃チェーン全体はまだ文書で立証されていませんが、REvilのペイロードはカスタムドロッパーを使用してKaseyaソフトウェア経由で配信されたことがわかっています。このドロッパーは、旧式の正規版Windows Defender（MsMpEng.exe）と悪意のあるカスタムローダをドロップします。ドロッパーは2つのファイルをディスクに書き込み、MsMpEng.exe を実行します。すると、サイドローディングが行われ、カスタムローダのエクスポートが実行されます。 

攻撃の動機は何だったのですか？

REvilの攻撃は一般的に金目当てと言われています。しかし、中には政略的な混乱を目的とする攻撃と思われるものもあります。時折、攻撃者は政略的な動機を持って標的を選んでいるように見えることがあります。

今回の攻撃では、ペイロード内の文字列がJoe Biden大統領、Donald Trump前大統領、ブラック・ライブズ・マター（BLM）を引用していました。攻撃者は45,000ドルの身代金を要求しました。これについては、米国第45代大統領だったTrump前大統領に対して新たな関連性があるのではないかとも言われています。

さらに、REvilのTor支払サイトが現時点でダウンしているのです。つまりこれは、犠牲者は身代金を支払う方法がないことを意味します。犯罪グループが技術的な問題を抱えていたのか、身代金を徴収するつもりがなかったのかどうかは未だ不明です。

REvilやSodinokibiとは何ですか？

REvil（Ransom.Sodinokibiとして検出）とは、シマンテックにて Leafrollerと称されるサイバー犯罪グループが開発したランサムウェアファミリーです。ランサムウェアは標的型攻撃で使用されます。これにより、攻撃者は高額の身代金を要求する目的で、被害者のネットワーク上のコンピュータをすべて暗号化しようとします。犯罪グループは、暗号化の前に被害者のデータを盗み、身代金を支払わらないとデータを公表すると脅すことで知られています。

Leafrollerは、現在活動している標的型ランサムウェアグループの中でも、最も確立され、かつ活発に活動しているものの1つです。このグループは、REvilの開発の前からGandCrabとして知られるさらに古いランサムウェアファミリーと関連がありました。Leafrollerは、「サービスとしてのランサムウェア」（Ransomware-as-a-Service、RaaS）」を運用していることで知られています。このサービスでは、アフィリエイトと呼ばれる協力者に攻撃ツールを販売し、その見返りとして協力者たちが得た身代金の分け前を受け取ります

保護または軽減

こうした攻撃に関連するツールは、シマンテックのエンドポイント製品を実行するマシン上で検出されブロックされます。

ファイルベースの保護:

• ダウンローダ
• Heur.AdvML.C
• Packed.Generic.618  
• Ransom.Sodinokibi 
• Trojan.Gen.2  
• Trojan.Gen.MBT 
• WS.Malware.1   
• WS.Malware.2

ネットワークベースの保護:

• Ransom.Gen Activity 29
• Audit: Ransom.Gen Activity 55

Symantec Protection Bulletinで保護に関する最新情報をご確認ください。

侵害の痕跡

d55f983c994caa160ec63a59f6b4250fe67fb3e8c43a388aec60a4a6978e9f1e - ドロッパー

df2d6ef0450660aaae62c429610b964949812df2da1c57646fc29aa51c3f031e - ドロッパー

dc6b0e8c1e9c113f0364e1c8370060dee3fcbe25b667ddeca7623a95cd21411f - ドロッパー

aae6e388e774180bc3eb96dad5d5bfefd63d0eb7124d68b6991701936801f1c7 - ドロッパー

66490c59cb9630b53fa3fa7125b5c9511afde38edab4459065938c1974229ca8 - ドロッパー

81d0c71f8b282076cd93fb6bb5bfd3932422d033109e2c92572fc49e4abc2471 - ドロッパー

1fe9b489c25bb23b04d9996e8107671edee69bd6f6def2fe7ece38a0fb35f98e  - ドロッパー

8dd620d9aeb35960bb766458c8890ede987c33d239cf730f93fe49d90ae759dd  - Sodinokibi

e2a24ab94f865caeacdf2c3ad015f31f23008ac6db8312c2cbfb32e4a5466ea2  - Sodinokibi

d8353cfc5e696d3ae402c7c70565c1e7f31e49bcf74a6e12e5ab044f306b4b20  - Sodinokibi

d5ce6f36a06b0dc8ce8e7e2c9a53e66094c2adfc93cfac61dd09efe9ac45a75f  - Sodinokibi

cc0cdc6a3d843e22c98170713abf1d6ae06e8b5e34ed06ac3159adafe85e3bd6  - Sodinokibi

0496ca57e387b10dfdac809de8a4e039f68e8d66535d5d19ec76d39f7d0a4402  - Sodinokibi

8e846ed965bbc0270a6f58c5818e039ef2fb78def4d2bf82348ca786ea0cea4f  - Sodinokibi