コンテンツにスキップ

イラスト:セキュリティ管理

カジノサイト

最新のランサムウェア攻撃で数千社が侵害される可能性がある

スコット・ブリスコー著
2021 年 7 月 6 日

セキュリティの今日

6 月末日、米国サイバーセキュリティおよびインフラストラクチャ セキュリティ庁 (CISA) は新しいツールをリリースしました。。このツールは、ネットワーク管理者にサイバーセキュリティ実践の評価ツールを提供するように設計されています。

ほぼ待機中だった2日後、世界規模で組織された巨大なランサムウェア攻撃がおそらく数千の企業を襲いました。金曜日の攻撃は、世界的な食肉大手企業を混乱させたのと同じグループである REvil によって継続されました。5 月下旬の JBS.

IT サービス会社 Kaseya の脆弱性を利用してランサムウェアを複数のターゲットにプッシュしたため、この新しい攻撃は Kaseya 攻撃と呼ばれています。 (加瀬谷は行ってきました)Web サイトの状況を参照してください。) Kaseya はマネージド サービス プロバイダーとして、IT ネットワーク管理ツールを開発し、それらをバンドルしています。同社は顧客と直接連携し、IT 請負業者にもツールを提供し、IT 請負業者は IT インフラストラクチャ管理をアウトソーシングする主に中小企業にツールを導入します。

攻撃者は、Kaseya が顧客にアップデートをプッシュするために使用していたシステムを侵害し、潜在的に数千の企業のネットワークに感染しました。 a によると、これはランサムウェアにとって特に効果的な攻撃ベクトルでした。で有線.

「これについて興味深い点と懸念すべき点は、REvil がターゲットにアクセスするためにすべてのインスタンスで信頼できるアプリケーションを使用していたということです。通常、ランサムウェア攻撃者は、それを実行するためにさまざまな段階で複数の脆弱性を必要とするか、管理者のパスワードを明らかにするためにネットワーク上の時間を必要とします。」とソフォスの上級脅威研究者 Sean Gallagher 氏は語りました有線。 「これは、通常のランサムウェア攻撃よりも一歩進んだものです。」

AP通信(AP)宛、REvilの主なターゲットはマネージドサービスプロバイダーでした。攻撃者は、それぞれの企業に対して 500 万ドルの身代金の支払いを求めていましたが、下流の顧客からの要求は、報告された例によっては 45,000 ドルにまで大幅に縮小しました。

REvil は金曜日の攻撃の功績を公にし、100 万台以上のシステムが感染したと主張した。ユニバーサル復号キーを 7,000 万ドルで提供しました。は5,000万ドルまで下げるつもりです。 AP通信の報道によると、この異例の行動は広報活動のスタント、あるいは攻撃が広範囲に及んでREvilの管理能力を圧倒していることの表れであるとされている。

REvil ブログからの身代金メモ
REvil ブログ投稿からの身代金通知。

 

CISA は FBI と協力して発行影響を受けた企業、または影響を受ける可能性のある企業は日曜日。このガイダンスには、Kaseya VSA 検出ツールのほか、2 要素認証の強制やリモート管理と既知の IP アドレスへの監視の制限など、従うべき手順のリストが含まれています。

攻撃ベクトルの性質により、主要な公共部門、公益事業、その他の重要なインフラがほとんど被害を免れたことがわかります。しかし、それはまさに世界規模の攻撃です。米国、カナダ、スウェーデンがホットスポットだが、混乱の範囲はニュージーランドの学校からスペイン、アルゼンチン、インドネシアの企業にまで及んだ。ドイツの IT サービス会社、まだ公表されていません。当局は、数千人の顧客が侵害されたと報告した。

特に大きな打撃を受けた企業の 1 つは、スウェーデンに本拠を置く食料品店チェーンの Coop です。同社は決済システムに Visma Esscom を使用しており、Visma Esscom は Kaseya を使用しています。数百の店舗が閉鎖され、その多くは月曜まで休業したままで、開店した店舗は支払いを受け付ける代替手段を見つけた。ランサムウェア攻撃によって引き起こされた問題を解決するには、ロイター技術者が各店舗に行き、各レジスタをバックアップから手動で復元する必要があるということです。このプロセスには数週間かかる場合があります。

概要土曜日、ジョー・バイデン米国大統領はロシアのウラジーミル・プーチン大統領との最近の会話に言及し、ロシアの関与が判明すれば対応があると述べた。ただし、REvil がロシア政府とどの程度結びついているかは不明です。

arrow_upward