« Cloud Security Alliance がマイクロサービス・アーキテクチャー・パターンに関する報告書を公表していますね... | Main | ロシア 第6回 東方経済フォーラムに習近平さんも電話で参加したようです。。。 »

2021.09.05

米国 CISA FBI 休日と週末のためのランサムウェアの認識

こんにちは、丸山満彦です。

CISAとFBIが休日と週末にランサムウェアの攻撃が多いことを踏まえてアラートをだしていますね。。。(すみません、火曜日に警告されていたのに、日曜日にブログに書いていて...)

● CISA

・2021.08.31 Alert (AA21-243A) Ransomware Awareness for Holidays and Weekends

・[PDF]版

20210905-31150

Summary 概要
Immediate Actions You Can Take Now to Protect Against Ransomware ランサムウェアから身を守るために、今すぐできること
• Make an offline backup of your data. ・データをオフラインでバックアップする。
• Do not click on suspicious links. ・怪しいリンクはクリックしない。
• If you use RDP, secure and monitor it. ・RDPを使用している場合は,セキュリティを確保し,監視する。
• Update your OS and software. ・OSやソフトウェアをアップデートする。
• Use strong passwords. ・強力なパスワードを使用する。
• Use multi-factor authentication. ・多要素認証を使用する。
The Federal Bureau of Investigation (FBI) and the Cybersecurity and Infrastructure Security Agency (CISA) have observed an increase in highly impactful ransomware attacks occurring on holidays and weekends—when offices are normally closed—in the United States, as recently as the Fourth of July holiday in 2021. The FBI and CISA do not currently have any specific threat reporting indicating a cyberattack will occur over the upcoming Labor Day holiday. However, the FBI and CISA are sharing the below information to provide awareness to be especially diligent in your network defense practices in the run up to holidays and weekends, based on recent actor tactics, techniques, and procedures (TTPs) and cyberattacks over holidays and weekends during the past few months. The FBI and CISA encourage all entities to examine their current cybersecurity posture and implement the recommended best practices and mitigations to manage the risk posed by all cyber threats, including ransomware. 米国連邦捜査局(FBI)および米国サイバーセキュリティ・インフラストラクチャ・セキュリティ機関(CISA)は、最近では2021年の7月4日の祝日など、米国の祝日や週末に、影響力の強いランサムウェアの攻撃が増加していることを確認しています。現在、FBIとCISAは、来るレイバーデーの祝日にサイバー攻撃が発生することを示す具体的な脅威の報告を受けていません。しかし、FBIとCISAは、過去数ヶ月間の祝日や週末に行われた最近の犯罪者の戦術、技術、手順(TTP)やサイバー攻撃の状況を踏まえ、祝日や週末を前にして、ネットワーク防御対策に特に熱心に取り組むよう、以下の情報を提供しています。FBIとCISAは、ランサムウェアを含むすべてのサイバー脅威がもたらすリスクを管理するために、すべての事業体が現在のサイバーセキュリティの態勢を検証し、推奨されるベストプラクティスと緩和策を実施することを推奨しています。
Threat Overview 脅威の概要
Recent Holiday Targeting 最近のホリデーシーズンの標的
Cyber actors have conducted increasingly impactful attacks against U.S. entities on or around holiday weekends over the last several months. The FBI and CISA do not currently have specific information regarding cyber threats coinciding with upcoming holidays and weekends. Cyber criminals, however, may view holidays and weekends—especially holiday weekends—as attractive timeframes in which to target potential victims, including small and large businesses. In some cases, this tactic provides a head start for malicious actors conducting network exploitation and follow-on propagation of ransomware, as network defenders and IT support of victim organizations are at limited capacity for an extended time. ここ数ヶ月、サイバー犯罪者による米国企業への攻撃は、休日の週末を利用したものが増えています。現在、FBIとCISAは、今後の祝日や週末に発生するサイバー脅威に関する具体的な情報を持っていません。しかし、サイバー犯罪者は、休日や週末、特に休日の週末を、中小企業や大企業を含む潜在的な被害者を標的とするための魅力的な時間枠と考えている可能性があります。場合によっては、被害者の組織のネットワーク・ディフェンダーやITサポートが長時間にわたって限られた能力しか発揮できないため、ネットワークの悪用やそれに続くランサムウェアの拡散を行う悪意のあるアクターにとって、この戦術が先手を打つことになります。
In May 2021, leading into Mother’s Day weekend, malicious cyber actors deployed DarkSide ransomware against the IT network of a U.S.-based critical infrastructure entity in the Energy Sector, resulting in a week-long suspension of operations. After DarkSide actors gained access to the victim’s network, they deployed ransomware to encrypt victim data and—as a secondary form of extortion—exfiltrated the data before threatening to publish it to further pressure victims into paying the ransom demand. 2021年5月、母の日の週末に向けて、悪意のあるサイバーアクターは、米国に拠点を置くエネルギー部門の重要インフラ企業のITネットワークに対してDarkSideランサムウェアを展開し、その結果、1週間にわたって業務が停止しました。DarkSideは、被害者のネットワークにアクセスした後、ランサムウェアを導入して被害者のデータを暗号化し、二次的な恐喝手段としてデータを搾取した後、被害者に身代金の支払いを迫るためにデータを公開すると脅しました。
In May 2021, over the Memorial Day weekend, a critical infrastructure entity in the Food and Agricultural Sector suffered a Sodinokibi/REvil ransomware attack affecting U.S. and Australian meat production facilities, resulting in a complete production stoppage. 2021年5月、メモリアルデーの週末に、食品・農業分野の重要インフラである企業が、米国とオーストラリアの食肉生産施設を標的としたSodinokibi/REvilランサムウェア攻撃を受け、生産が完全に停止しました。
In July 2021, during the Fourth of July holiday weekend, Sodinokibi/REvil ransomware actors attacked a U.S.-based critical infrastructure entity in the IT Sector and implementations of their remote monitoring and management tool, affecting hundreds of organizations—including multiple managed service providers and their customers. 2021年7月、7月4日の連休中に、米国のITセクターの重要インフラ企業がSodinokibi/REvilランサムウェアの攻撃を受け、同社の遠隔監視・管理ツールの実装が、複数のマネージドサービスプロバイダーとその顧客を含む数百の組織に影響を与えました。
Ransomware Trends ランサムウェアの動向
The FBI's Internet Crime Complaint Center (IC3), which provides the public with a trustworthy source for reporting information on cyber incidents, received 791,790 complaints for all types of internet crime—a record number—from the American public in 2020, with reported losses exceeding $4.1 billion. This represents a 69 percent increase in total complaints from 2019. The number of ransomware incidents also continues to rise, with 2,474 incidents reported in 2020, representing a 20 percent increase in the number of incidents, and a 225 percent increase in ransom demands. From January to July 31, 2021, the IC3 has received 2,084 ransomware complaints with over $16.8M in losses, a 62 percent increase in reporting and 20 percent increase in reported losses compared to the same time frame in 2020.1   The following ransomware variants have been the most frequently reported to FBI in attacks over the last month. 米国連邦捜査局(FBI)のインターネット犯罪苦情処理センター(IC3)は、2020年に米国民から過去最多となる791,790件のあらゆる種類のインターネット犯罪に関する苦情を受け、報告された被害額は41億ドルを超えました。これは、2019年に比べて苦情の総数が69%増加したことを意味します。また、ランサムウェアのインシデント数も増加し続けており、2020年には2,474件のインシデントが報告され、インシデント数は20%増、身代金の要求額は225%増となっています。2021年1月から7月31日までの間に、IC3は2,084件のランサムウェアの苦情を受け、1,680万ドル以上の損失を計上しており、2020年の同時期と比較して、報告件数は62%、報告された損失額は20%増加しています1。先月の攻撃でFBIに最も多く報告されたランサムウェアの亜種は以下の通りです。
Conti Conti
PYSA PYSA
LockBit ロックビット
RansomEXX/Defray777 RansomEXX/Defray777
Zeppelin Zeppelin
Crysis/Dharma/Phobos Crysis/Dharma/Phobos
The destructive impact of ransomware continues to evolve beyond encryption of IT assets. Cyber criminals have increasingly targeted large, lucrative organizations and providers of critical services with the expectation of higher value ransoms and increased likelihood of payments. Cyber criminals have also increasingly coupled initial encryption of data with a secondary form of extortion, in which they threaten to publicly name affected victims and release sensitive or proprietary data exfiltrated before encryption, to further encourage payment of ransom. (See CISA’s Fact Sheet: Protecting Sensitive and Personal Information from Ransomware-Caused Data Breaches.) Malicious actors have also added tactics, such as encrypting or deleting system backups—making restoration and recovery more difficult or infeasible for impacted organizations. ランサムウェアの破壊的な影響は、IT資産の暗号化にとどまらず、進化し続けています。サイバー犯罪者は、より高額の身代金を期待し、支払いの可能性を高めるために、利益を生み出す大規模な組織や重要なサービスを提供する企業を標的とするようになっています。また、サイバー犯罪者は、データを最初に暗号化する際に、被害者の名前を公表し、暗号化する前に流出した機密データや専有データを公開すると脅して、身代金の支払いをさらに促す二次的な恐喝行為を行うようになっています。(CISAのファクトシートをご参照ください。Protecting Sensitive and Personal Information from Ransomware-Caused Data Breaches」を参照)。) また、悪意のある者は、システムのバックアップを暗号化または削除することで、被害を受けた組織の復旧や回復を困難にしたり、不可能にしたりするなどの手口を加えています。
Although cyber criminals use a variety of techniques to infect victims with ransomware, the two most prevalent initial access vectors are phishing and brute forcing unsecured remote desktop protocol (RDP) endpoints. Additional common means of initial infection include deployment of precursor or dropper malware; exploitation of software or operating system vulnerabilities; exploitation of managed service providers with access to customer networks; and the use of valid, stolen credentials, such as those purchased on the dark web. Precursor malware enables cyber actors to conduct reconnaissance on victim networks, steal credentials, escalate privileges, exfiltrate information, move laterally on the victim network, and obfuscate command-and-control communications. Cyber actors use this access to:  サイバー犯罪者は、被害者にランサムウェアを感染させるために様々な手法を用いていますが、最も一般的な初期アクセスベクターは、フィッシングと、セキュリティ保護されていないリモートデスクトッププロトコル(RDP)エンドポイントへのブルートフォースの2つです。その他の一般的な初期感染手段としては、プリカーサまたはドロッパーマルウェアの展開、ソフトウェアまたはオペレーティングシステムの脆弱性の悪用、顧客ネットワークにアクセスできるマネージドサービスプロバイダーの悪用、ダークウェブで購入したような有効な盗難証明書の使用などがあります。前駆体マルウェアは、サイバーアクターが被害者のネットワークを偵察したり、認証情報を盗んだり、権限を高めたり、情報を流出させたり、被害者のネットワークを横に移動したり、コマンド&コントロールの通信を難読化したりすることを可能にします。サイバーアクターは、このアクセスを以下の目的で使用します。
Evaluate a victim’s ability to pay a ransom. 被害者が身代金を支払う能力を評価する
Evaluate a victim’s incentive to pay a ransom to:  被害者が身代金を支払う動機を評価する
Regain access to their data and/or  被害者へのデータへのアクセス権を取得する
Avoid having their sensitive or proprietary data publicly leaked. 被害者の機密情報や独自のデータが公に流出することを回避する
Gather information for follow-on attacks before deploying ransomware on the victim network. 被害者のネットワークにランサムウェアを導入する前に、後続の攻撃のための情報を収集する

|

« Cloud Security Alliance がマイクロサービス・アーキテクチャー・パターンに関する報告書を公表していますね... | Main | ロシア 第6回 東方経済フォーラムに習近平さんも電話で参加したようです。。。 »

Comments

Post a comment



(Not displayed with comment.)


Comments are moderated, and will not appear on this weblog until the author has approved them.



« Cloud Security Alliance がマイクロサービス・アーキテクチャー・パターンに関する報告書を公表していますね... | Main | ロシア 第6回 東方経済フォーラムに習近平さんも電話で参加したようです。。。 »