>
Insiktレポート

ランサムウェアの標的にされたラテンアメリカの政府

投稿: 2022年6月14日
作成者 : Insikt Group®

insikt-logo-blog.png

Recorded Futureは、2022年1月から2022年5月にかけて、ラテンアメリカ(LATAM)の政府に対するサイバー攻撃が最近増加したことを調査しました。 脆弱性、攻撃ベクトル、侵害の痕跡(IOC)を分析し、ラテンアメリカの政府を標的とするランサムウェアギャングが最も蔓延している もの を特定し、この地域における適切なサイバーセキュリティの衛生状態の欠如を強調しました。 このレポートには、Recorded Future® Platform、ダークウェブソース、およびオープンソースインテリジェンス技術(OSINT)を使用して収集された情報が含まれています。

Executive Summary

2022年4月頃から、ラテンアメリカ(LATAM)のいくつかの政府機関がランサムウェア攻撃の影響を受けており、ロシア語またはロシア語を話す脅威アクターが関与している可能性が高いことを確認しました。 影響を受ける国には、コスタリカ、ペルー、メキシコ、エクアドル、ブラジル、アルゼンチンなどが含まれ、これらの国々は国連総会(UNGA)でロシアがウクライナに侵攻したことを公に非難しています。 これらの国々の一部は、2022年4月上旬にロシアを国連人権理事会(UNHRC)から停止することを決議しました。 最近では、コスタリカなどで、これらの攻撃に関して国家非常事態が発令されています。 ラテンアメリカの政府に対するこれらの攻撃に関与しているランサムウェアグループには、Conti、ALPHV、LockBit 2.0、BlackByteなどがあります。 私たちは、ロシア語のダークウェブやXSSなどの特別なアクセスフォーラムで、イニシャルアクセスブローカー(IAB)サービスが著しく増加していることを逸話的に確認しました。また、XSSやExploit広告、ラテンアメリカのエンティティに関連する低コストで侵害されたネットワークアクセス方法などです。 また、BreachForumsなどの低層および中層の英語圏のフォーラムで、ラテンアメリカのエンティティに関連するデータベースリークが注目を集めているのがいくつか確認されており、2022年4月にはデータダンプが急増しました。 さらに、2022年第1四半期と第2四半期には、ダークウェブショップ上のラテンアメリカ政府のドメインに影響を与える侵害された認証情報の販売が、2021年と比較して大幅に増加していることが確認されました。 これらの観察と傾向は、政府機関を標的にした「不文律」やグループ内のポリシーに関連する、ランサムウェアや広範なサイバー犯罪コミュニティのパラダイムシフトを表している可能性があります。

主な判断

  • LATAM 政府機関に対するランサムウェア攻撃の信頼性は、漏洩したサンプルデータ、脅威アクターの兆候、追跡されたランサムウェアのオペレーターや関連会社に関連する過去の活動、パターン、傾向の分析に基づいて高いです。
  • 対処されなければ、ラテンアメリカの地方、州、または連邦政府機関に対するランサムウェア攻撃は、信頼できる国家的および地政学的なセキュリティリスクを構成する可能性があります。 LATAMのエンティティは、この地域がそのような脅威から防御するための適切なサイバーセキュリティ教育、衛生、およびインフラストラクチャを欠いているため、ランサムウェアのオペレーターやアフィリエイトにとって魅力的なターゲットであり続けるでしょう。 ラテンアメリカの政府機関に対する攻撃が、インフラや重要なサービスを標的にするようにエスカレートすれば、国家安全保障上の重大なリスクをもたらすことになります。
  • ラテンアメリカの政府機関を標的とするランサムウェアアフィリエイトが採用する最も可能性の高い攻撃ベクトルには、インフォスティーラー感染によって取得した侵害された有効な資格情報の使用、初期アクセスブローカーの販売、またはダークウェブショップやマーケットプレイスでの購入が含まれます。
  • ラテンアメリカの政府機関を標的にすることは、世界中の政府を標的とする内部のサイバー犯罪政策からの最初のシフトを意味する可能性があります。

脅威分析

攻撃ベクトル

2022年5月26日現在、ラテンアメリカの政府機関を標的とするランサムウェアのオペレーターや関連会社が採用した攻撃ベクトルを明確に判断することはできません。 しかし、脅威アクターがネットワークへの初期アクセスを取得する最も一般的な方法は、侵害された有効な資格情報ペア(T1078)とセッションCookie(T1539)を使用することです。これらは、成功したインフォスティーラー感染(T1555、T1083)から収集され、ダークウェブや特別なアクセスソースで専門の「初期アクセスブローカー」によって販売されます。 これは、このような脅威アクターが侵害されたラテンアメリカ政府のネットワークにアクセスした最も可能性の高い手段です。 これらのインフォスティーラーは、フィッシング(T1566)、スパム、悪意のあるファイル(T1204)または偽装(T1036)ファイルの意図しないダウンロード、およびその他のさまざまな方法を介して拡散することがよくあります。 2022年3月頃から、ダークウェブや特殊アクセスソース上で、ラテンアメリカ政府機関を標的とした初期アクセス販売やデータベースリークへの言及が、わずかに持続的に増加していることが確認されています。 これらの観察結果は、Insikt Groupの日々の脅威リード、アナリストノート、レポートを通じて逸話的に記録されています。 「zirochka」などの脅威アクターが、ロシア語のトップレベルのフォーラムであるXSSやExploitオークションで、ラテンアメリカのエンティティを標的とした侵害されたネットワークアクセスを比較的低価格(100ドル<)で大量に行っていることを確認しています。

latin-american-governments-targeted-by-ransomware-0.png 図 1: LATAM政府機関に対するランサムウェア攻撃のタイムライン(ダークウェブおよび特別アクセスソース上のLATAMへの参照にマッピング)(出典:Recorded Future)

2022年3月から2022年4月4日まで、ラテンアメリカの政府機関に関連するデータベースダンプがわずかに増加していることが確認されています。 また、2022年第1四半期(2022年2月以降)には、Russian Market、Genesis Store、2easy Shopなどのダークウェブショップやマーケットプレイスで、ラテンアメリカの政府機関が所有するドメインへの言及が2021年の同時期と比較して大幅に増加していることが確認されました。 これらのダークウェブショップやマーケットプレイスは、侵害されたアカウント認証情報、リモートデスクトッププロトコル(RDP)やセキュアシェル(SSH)アクセス、被害者のネットワークにアクセスするために利用できるインフォスティーラーマルウェアの「ログ」の販売を専門としています。 ラテンアメリカの政府機関やドメインを標的とした広告の供給、頻度、量の増加と、ラテンアメリカの政府機関を標的としたランサムウェア攻撃との間に直接的な関連性や因果関係を特定することはできませんが、このような傾向や観察結果から、相関関係の可能性を分析・判断するためのさらなる研究が必要であると考えています。

latin-american-governments-targeted-by-ransomware-1.png

latin-american-governments-targeted-by-ransomware-2.png

図 2: ラテンアメリカで不特定のエンティティを対象とした一括初期アクセスオークションの例(出典:Exploit Forum)

ラテンアメリカの政府機関を標的とするランサムウェアギャング

2022年4月1日以降の期間に、少なくとも4つの信頼性の高いランサムウェアギャングがラテンアメリカの政府機関を標的にしていることが確認されています。 これらのギャングには、Conti、ALPHV(BlackCat)、LockBit 2.0、BlackByteが含まれます。 これらのインシデントは、ランサムウェアを標的にした深刻度と影響を大幅に増加させています。 一般的に、ランサムウェアのアフィリエイトは、医療施設、K-12教育機関、国際機関や連合、地方政府、州政府、連邦政府を標的にすることを避けています。 ダークウェブや特別アクセスフォーラム、主流メディアの注目、国際的な法執行活動などでネガティブな評判や汚名を着せられるリスクは、これらの業界の標的が攻撃されると劇的に増加します。 おそらくロシアまたはロシア語を話すランサムウェアギャングがラテンアメリカのエンティティを標的にしたことは、以前はグループによって内部的に制裁されていた標的がランサムウェア作戦の実行可能な標的になるというパラダイムシフトの始まりを示す可能性があります。

コンティ

その中でも特に注目すべきは、Contiによるコスタリカ政府への攻撃で、ランサムウェア攻撃の結果として世界初の全国的な緊急事態が宣言されました。 この攻撃は、ランサムウェアのアフィリエイトまたはアフィリエイトグループ「unc1756」(通称「wazawaka」)によって実行され、公表された可能性が高く、メディアや法執行機関の広範な注目を集めています。 アフィリエイトは大規模なランサムウェアの「ブランド」から独立して活動していることが多いため、Contiが主張したコスタリカへの攻撃は、より大きなグループの仕業ではない可能性があります。 Contiは、財務省(hacienda[.]行く[.]cr)、労働社会保障省(mtss[.]行く[.]cr)、開発基金および家族手当局(fodesaf[.]行く[.]cr)、 コスタリカのアラフエラの大学間本部(siua[.]AC[.]cr)。 以前のContiの投稿では、水道や電気などの公益事業の制御についても曖昧な言及があり、グループがコスタリカの産業用制御システム/監視制御およびデータ収集(ICS/SCADA)環境にアクセスしていたことを間接的に示している可能性があります。 ただし、これらの主張を確認することはできません。 Contiは、コスタリカへの攻撃という彼らの主張に続いて、情報総局(digimin[.]ゴブ[.]PE) 経済財務省(mef[.]ゴブ[.]PE) です。

latin-american-governments-targeted-by-ransomware-3.png

latin-american-governments-targeted-by-ransomware-4.png

図 3: Conti Gangによるコスタリカとペルーの政府機関への攻撃の発表(出典:Conti.News)

ALPHV(ブラックキャット)

2022年4月16日、ランサムウェアギャングALPHV(BlackCat)は、エクアドルのキト市(quito[.]ゴブ[.]ec)です。 ALPHVがラテンアメリカに所在する政府機関を標的にしたのはこれが初めてのことだった。 エクアドルのメディアによると、この攻撃により、いくつかのサービスが不特定の時間にわたってオフラインになったとのことです。 キト市長室と州司法長官事務所は、最初の攻撃によりいくつかの重要な政府サービスが「停止」し、「手続きを実行できなかったユーザーに不便」を引き起こしたことを確認したため、これは注目に値するイベントです。 2022年4月25日現在、ALPHVによって流出したと主張されているすべての情報は、.onionから無料でダウンロードできます 同名の一般向けALPHV恐喝ウェブサイトで提供されているドメイン。 侵害された情報には、エクアドルのキト市の運営と管理に関連する機密性の高い財務、法律、政治文書が含まれている可能性があります。 この情報は、日和見的な脅威アクター、犯罪者、または国家によって利用された場合、エクアドルの国家安全保障に損害を与える可能性があります。

latin-american-governments-targeted-by-ransomware-5.png

図 4: BlackCatランサムウェアグループによるエクアドルのキト市への攻撃の発表(出典:ALPHV)

ロックビット 2.0

2022年5月23日、ランサムウェア集団LockBit 2.0は、メキシコのモレロス州保健長官に関連する漏洩ファイルをブログに公開しました(saludparatodos[.]ssm[.]ゴブ[.]mx)、 2022年5月16日頃に最初に開示された侵害。 この開示は、2022年4月22日にLockBit 2.0がブラジルのリオデジャネイロ財務長官のネットワークを侵害したという以前の主張に続くものです(fazenda[.]rj[.]政府[.]br) です。 これらの事件はいずれも、メキシコやブラジルのメディアで広く報道されなかった。 2022年4月25日現在、この攻撃が政府機関に関連する重要なサービスに大きな混乱をもたらしたかどうかは不明です。 さらに、2022 年 4 月 25 日現在、LockBit 2.0 ランサムウェア ギャングによって流出したと主張されているすべての情報は、LockBit 2.0 恐喝 Web サイト「LockBit 2.0 Leaked Data」から無料でダウンロードできます。 侵害された情報には、これらのエンティティの運営と管理に関連する機密性の高い財務、法律、および政治文書が含まれている可能性があります。 この情報は、日和見的な脅威アクター、犯罪者、または国家によって利用された場合、メキシコとブラジルの国家安全保障に損害を与える可能性があります。

latin-american-governments-targeted-by-ransomware-6.png

latin-american-governments-targeted-by-ransomware-7.png

図 5: LockBitギャングによるメキシコとブラジルの政府機関への攻撃の発表(出典:LockBitブログ)

BlackByte

2022年5月21日、BlackByteランサムウェアのオペレーターは、BlackByte Blogという公開恐喝Webサイトで、ペルー共和国会計検査官の内部ネットワークを侵害したという主張を発表しました(contraloria[.]ゴブ[.]PE) です。 2022年4月25日現在、BlackByteランサムウェアのオペレーターは、この政府機関に関連する注目すべきデータを公開していません。 この攻撃は、ペルーの会計検査官の代表者によってまだ確認されておらず、ペルーやスペイン語のメディアでも広く報道されていません。 本稿執筆時点では、この攻撃が会計検査官が提供する重要なサービスの中断を引き起こしたかどうかは判断できませんが、ドメインで検出されたサービスの中断は、この攻撃に関連している可能性があります。

latin-american-governments-targeted-by-ransomware-8.png

図 6: BlackByteランサムウェアギャングによるペルー政府機関への攻撃の発表(出典:BlackByte Blog)

ラテンアメリカのほとんどの国は国家サイバーセキュリティ戦略を採用していますが、民間部門と公共部門の両方でサイバー能力とセキュリティ体制を改善するという点では、まだ多くの課題があります。現時点では、30カ国以上が加盟するランサムウェアタスクフォースのメンバーは、ラテンアメリカの3カ国(ブラジル、ドミニカ共和国、メキシコ)のみです。 最も効果的な投資は、ラテンアメリカとカリブ海地域の住民に、ITセキュリティ指向の学校やトレーニング機関への対面またはリモートアクセスを提供することです。 この地域の教育機関や訓練機関は、ITセキュリティ専門家に対する現在の需要に追いつくことができません。 教育、トレーニング、見習いプログラムへの投資は、能力の構築、サイバースキルのギャップの解消、サイバー人材パイプラインへのより多くの個人の参加に最も大きな違いをもたらすでしょう。 若い個人がサイバー領域内で教育と訓練を求めることを支援および奨励することは、スキル不足に劇的な影響を与え、サイバー脅威に対する一般の意識を向上させることができます。この地域は、パンデミック時にサイバー犯罪と詐欺の影響を特に受けています。

サイバーセキュリティに対する代替的なアプローチをとっている国を評価することは困難ですが、サイバーセキュリティを民間企業に任せることを決定した国もあれば、サイバー犯罪者と戦うために政府機関や軍隊に頼る国もあります。 米州機構(OAS)のサイバーセキュリティ観測所によると、ほとんどのラテンアメリカ諸国はサイバーセキュリティ開発の初期段階にあります。 その結果、中米およびカリブ海諸国のサイバーセキュリティ政策に関して、達成し、実装すべきことはまだたくさんあります。 それにもかかわらず、アルゼンチン、ドミニカ共和国、エクアドル、パナマ、ペルーなどの国々は、サイバー能力を向上させるために多大な努力を払っています。 しかし、政策、法的枠組み、制度的能力、人的資源が確立されている国は、ブラジル、ウルグアイ、コロンビア、チリなど、ごく一部です。 また、ブラジル、コロンビア、チリ、メキシコなどの国々は、まだ発展途上ですが、サイバー法、政策、規制の策定など、制度的能力の拡大を主導しています。 また、これらの国々では、民間部門、主に金融部門の専門知識も増加しています。

軽減策

組織のデータのオフラインバックアップを維持し、ランサムウェアに感染した場合のデータ損失を防ぐために、これらのバックアップを最新の状態に保つことが重要です。 さらに、全体的なリスクと影響を軽減するために、次の軽減策をお勧めします。

  • ランサムウェアは、多くの場合、SIEMプラットフォームと統合された堅牢な脅威インテリジェンスシステムで検出できる特定の動作パターンに従います。
    • Recorded Future Hunting Packages にあるような YARA ルールを実装して、シグネチャベースの検出やエンドポイントベースの検出の SNORT ルールでマルウェアを特定します。
    • このレポート全体で提供されるIOCは、ランサムウェアに関連するファイルハッシュ、レジストリキー、IPトラフィックなどの項目について、環境をプロアクティブにクエリまたはスキャンするために使用できます。
  • ネットワークセグメンテーションにより、組織のネットワークを介したランサムウェアの伝播を阻止できます。 このソリューションには、大規模なネットワークを小さなネットワークセグメントに分割することが含まれ、ファイアウォール、仮想ローカルエリアネットワーク、またはその他の分離技術を通じて実現できます。
  • 侵入検知/侵入防止(IDS/IPS)システムとエンドポイント検知および対応(EDR)システムを実装します。
  • 従業員とスタッフに強力なフィッシング対策トレーニングを提供します。
  • リモートアクセスソリューションが日常業務にとって重要である場合、CitrixやRDPなどのすべてのリモートアクセスサービスとプロトコルは、2要素認証または多要素認証で実装する必要があります。
    • 公開されたRDPサーバーは、脅威アクターによって悪用され、ターゲットのネットワークに初期アクセスすることもできます。 脅威アクターは、RDPを実行しているインターネットに接続されたサーバーを持つネットワークを探し、それらのサーバーの脆弱性を悪用したり、ブルートフォースパスワード攻撃を使用したりします。 ネットワーク内に侵入すると、脅威アクターは横方向に移動し、標的のマシンにランサムウェアをインストールし、多くの場合、バックアップやその他の保護を無効にします。
  • プロセス監視を使用して、データ破壊アクティビティー (vssadmin、wbadmin、bcdedit など) の実行とコマンドを監視します。
  • 疑わしいファイル変更アクティビティ (特にユーザー ディレクトリ内の大量のファイル変更) の作成を監視します。
  • 機密性の高いクライアント情報は、インターネットから切断されているシステムや、企業ネットワークの残りの部分からセグメント化されたシステムに保持することを検討してください。 ランサムウェアは被害者のシステム上のすべてのファイルを暗号化し、多くの場合、ネットワーク上のディレクトリ(ネットワークファイル共有など)を検索して暗号化するため、機密性の高い顧客データをインターネットにアクセスできないシステムやネットワークの他の部分にアクセスできないシステムに移動すると、ランサムウェアによるそれらのファイルへのアクセスを最小限に抑えることができます。

今後の展望

ランサムウェアは、ランサムウェア・アズ・ア・サービス(技術に詳しくない脅威アクター向け)として利用可能であり、感染率が高いため、ラテンアメリカの公的機関や民間企業を標的とする脅威アクターの攻撃方法に引き続き組み込まれる可能性があります。 侵害されたアカウントとネットワークは、脅威アクターによって非常に求められており、アカウントの乗っ取り、個人情報の盗難、ソーシャルエンジニアリング、クレデンシャルスタッフィング、ブルートフォースなど、さまざまな攻撃ベクトルで使用される可能性があるため、引き続き高い需要があります。 LATAMは新進気鋭の地域であり、そのセキュリティ体制はさまざまな理由(地政学的な状況やインフラの発展など)により他の地域ほど洗練されておらず、発展していないため、脅威アクターはLATAMエンティティを、インフォスティーラー感染を介して機密で金銭的に有利なアカウントを収集するための簡単なターゲットと見なす可能性があります。

この地域のインシデント対応チームがセキュリティ体制を構築するにつれて、脅威アクターは、個人および企業のアカウントのログイン詳細やその他の重要なデータを収集する目的で、ラテンアメリカの組織を標的とするインフォスティーラーの亜種を強化し、作成し続ける可能性があります。

関連