ブログ(脅威調査)

MAZEの目的は何か:MAZEランサムウェア・インシデントに関連したTTP(Tactics, Techniques, Procedures)の解説と脅威対策

本ブログは、米FireEyeが公開した May 07, 2020 「Navigating the MAZE: Tactics, Techniques and Procedures Associated With MAZE Ransomware Incidents」の要約版です。技術詳細を含むブログ全文は、英文記事をご参照ください。

 

標的型のランサムウェア・インシデントは、業界や地域を越えて企業に破壊的な攻撃をもたらしています。FireEye Mandiant Threat Intelligenceはこれまで、ランサムウェア・インシデントの全体の傾向FIN6活動OTネットワークへの影響、侵害後のランサムウェア展開の他の側面などを調査して、この脅威を文書化しました。2019年11月以降、MAZEランサムウェアは、標的型ランサムウェアの使用、被害者データの公開、および関連モデルを組み合わせた攻撃に使用されていることがわかりました。

悪意ある攻撃者は、少なくとも2019年5月以降、MAZEランサムウェアを積極的に展開してきました。ランサムウェアは、当初スパム・メールとエクスプロイト・キットを使って配付されていましたが、その後、侵害後の配付に移行しました。地下フォーラムでの疑わしいユーザーの観察と、Mandiantインシデントレスポンスの取り組みで見られる個別のTTP(Tactics, Techniques, Procedures)によると、複数の攻撃者がMAZEランサムウェア活動に関与しています。また、MAZEの背後にいる攻撃者は、恐喝の支払いを拒否した被害者から窃取したデータを投稿する公開ウェブサイトを維持しています。

機密データのダンプと企業ネットワークの破壊という、これら2つの侵入の成果を犯罪サービスと組み合わせることで、MAZEは多くの組織にとって注目すべき脅威となります。このブログの記事は、多数のMandiantインシデントレスポンスの取り組みから得られた情報と、MAZEエコシステムと活動に関する独自の調査に基づいています。

MAZEランサムウェアの脅威に関する5月21日のWebセミナー(英語)では、Mandiant Threat Intelligenceが疑問に答える予定です。

被害者学

FireEyeでは、2019年11月以降、各種メディアやMAZEのWebページで100名以上がMAZE被害者と考えられると報告していることを認識しています。被害者は世界中のあらゆる地域に広がっていますが、大半は北米となっています。業界の面では、製造、法律関連、金融サービス、建設、医療、技術、小売、行政を含むほぼすべての業界が影響を受けており、これらの活動の性質が無差別であることが示されています(図1)。

図1:MAZEの被害者と思われる地理および業界の分布

MAZEランサムウェア活動は複数の攻撃者によって連携されている

Mandiantでは、MAZEランサムウェアの使用を主張し、グループ内でさまざまな機能的役割を果たすためにパートナーを探している、ロシア語を話す複数の攻撃グループを特定しました。これらの攻撃グループに関する詳細は、Mandiant Intelligenceサブスクプション契約者には通知されています。MAZEランサムウェア展開の標的となる被害者を管理するためのパネルには、アフィリエイト・トランザクションのセクションがあります。これは、MAZEがアフィリエイト・モデル(成果報酬型)に基づいて活動し、単一のグループが配付しているわけではないという、われわれの評価と一致しています。このビジネスモデルでは、ランサムウェア開発者は、マルウェアの配付を担当する他の攻撃者(つまり、関連会社)と提携します。このようなシナリオでは、被害者が要求される身代金を支払うと、ランサムウェア開発者は手数料を受け取ります。MAZEランサムウェアの直接の提携組織は、身代金の歩合制で特定のタスクを実行する他の攻撃者とも提携しています。これには、偵察、権限昇格、および水平展開を担当する組織およびペンテスターへの初期アクセスを提供するパートナーが含まれ、各パートナーは歩合制で作業しているようです。注目すべきは、雇われる攻撃者の中には、被害者組織とそこからの年間の売上を決定するなどの特定のタスクを実行するために、手数料ベースではなく給与払い契約されているケースがあります。これにより、サイバー犯罪のエコシステム内での専門化が可能になり、最終的には効率が向上し、すべての関係者が利益を得られるようになります。


図2:MAZEランサムウェアのパネル

被害の最大化のために侵害後の配付への戦術シフト

MAZEを使用する攻撃グループは次第に、侵害後のランサムウェアの展開に移行してきました。これは、被害者の環境内のできるかぎり多くのホストを感染させてデータを搾取できるようにすることによって、組織により多くの身代金を支払わせるための、さらなるプレッシャーを与えます。特に、少なくともいくつかのケースでは、これらの活動の背後にいる攻撃グループは、復号キーの提供に対する身代金だけではなく、盗んだデータの返却に対してもさらなる身代金を求めてきています。

MAZEランサムウェアの配付に先行する高レベルの侵入シナリオは大まかには似ていますが、侵入全体では顕著なばらつきがあり、異なるグループに帰属していることを示唆しています。グループ内であっても、サイバー犯罪者は、「ひとりのオペレータがライフサイクル全体の責任を負わないこと」を意図したタスク指向であるように思われます。特に、初期侵入から暗号化までの間の時間も、数週間から数か月にわたるなど、様々なケースが確認されてきています。原文のレポートでは、インシデントのサブセットに見られるTTPについて取り上げ、多数の異なる攻撃グループがこれらの活動のさまざまなフェーズに関与しているために発生する可能性のある相違点を説明していますので、詳細はぜひ参考にしてください。

予想される結果と推奨対策

FireEye では、MAZEランサムウェアは多数の攻撃グループによって配布されると考えており、このランサムウェアに関連するインシデントを通じて使われるTTPは、特に最初の侵入経路に関しては、多少は変化し続けるであろうと予想しています。ランサムウェアに対応するための包括的な推奨事項については、「FireEyeランサムウェアの防御と封じ込め戦略」のブログ記事とそこで紹介されているホワイトペーパー『ランサムウェアに対する保護と封じ込め戦略:エンドポイントの保護、強化、封じ込めに関する実践ガイド』を参照してください。

また、MAZEを使う各グループのMITRE ATT&CKテクニック・マッピングやIOC一覧については、原文のレポートに掲載しています。ぜひお役立てください。

 

日本語版:Reviewed by Toru Tanimura