PonyFinalは人間が操作するランサムウェア攻撃に展開され、攻撃者はターゲットシステムの知識に基づいて技術を調整します。
マイクロソフトは本日、人間が操作するランサムウェアキャンペーンに展開されたJavaベースのランサムウェアであるPonyFinalで収集された脅威データを共有しました。 これらのタイプの攻撃では、敵は宿題を出し、標的となる組織の環境に基づいて戦略とペイロードを選択します。
人間が操作するランサムウェアは新しいものではありませんが、攻撃者が個々の被害者からの身代金を最大化しようとするため、人気が高まっています。 他の既知の人間が操作するランサムウェアキャンペーンには、Bitpaymer、Ryuk、REvil、Samasなどがあります。 MicrosoftはXNUMX月の初めにPonyFinalを見始めました、とMicrosoft Threat ProtectionのリサーチディレクターであるPhillip Misnerは言います。
「これらはすべて、顧客が現在直面している同じ種類の深刻な脅威のバリエーションです」と彼は説明します。 攻撃者は、ビジネスの詳細を知るために、資格情報の盗難と横方向の移動を利用します。 「最終的には、環境を通過して理解した後、攻撃者が選択したランサムウェアを展開し、時間の経過とともに観察した環境と最も密接に一致します。」
PonyFinal攻撃は通常、XNUMXつの方法のいずれかで始まります。 マイクロソフトセキュリティインテリジェンスは、標的のシステム管理サーバーに対するブルートフォース攻撃を通じて攻撃者がアクセスするのを目にしたことがあり、一連のツイートを書いています。 VBScriptを展開して、PowerShellリバースシェルを実行してデータダンプを実行し、リモートマニピュレーターシステムを使用してイベントログをバイパスします。 攻撃者はまた、パッチが適用されていない欠陥や、脆弱なインターネット向けサービスを標的にしています。
攻撃者がJavaベースのランサムウェアを実行する必要があるJavaランタイム環境(JRE)を配備する場合があります。 しかし、専門家によると、攻撃者は、システム管理サーバーから盗んだデータを使用して、JREがインストールされているエンドポイントを標的とする証拠があるとしています。 これらのタイプの攻撃者は操作に注意を払っていて、可能な場合は検出を回避しようとします。 JREがすでにマシン上にある場合、アラートを発生させることなく操作できます。
「多くの場合、PonyFinalランサムウェアを目にしている人々は環境にJavaをすでに持っているため、攻撃者はこれを使用して可能な限りステルスを維持しています」と彼は説明します。
ランサムウェアは、XNUMXつのバッチファイルとランサムウェアペイロードを含むMSIファイルを介して配信されます。 Microsoftの調査によると、PonyFinalは特定の日時にファイルを暗号化します。 暗号化されたファイルのファイル拡張子は.encで、身代金メモは単純なテキストファイルであると彼らは言う。
PonyFinalは、長期にわたる人間が操作するキャンペーンの最後に配置されます。攻撃では、通常、攻撃者は休眠状態になり、最も都合の良い時間が来るのを待ちます。 XNUMX月のPonyFinalキャンペーンでは、最初の妥協から身代金までの期間は数ヶ月からXNUMX週間に及んだとMisnerは述べています。
PonyFinalの背後にいるオペレーターは新しいものではありません、と彼は続けます。 これは、研究者がこの種のランサムウェアキャンペーンで見た最新のペイロードです。 人間が操作するランサムウェアは、多くの場合、複数の犯罪グループに関連付けられており、単一の攻撃者グループに限定されることはめったにありません。 これと同じ形式のランサムウェアを使用する攻撃グループが複数存在する可能性がある、とMisner氏は付け加えます。
とはいえ、これはおそらく上級グループの仕事です。 「これらのすべての人間が操作するランサムウェアキャンペーンと同様に、これは通常の犯罪組織を上回っています」とMisner氏は言います。 これらは、複数のペイロードを選択する能力を持つ攻撃者であり、自分の時間を費やして調査を行い、侵害から最も多くのお金を引き出す方法を確認します。
これらのランサムウェアオペレーターは、誰を攻撃するかを決定する際に差別しません。 「これらの攻撃者は機会の標的を探しています」と彼は説明します。 これらのキャンペーンにはCOVID-19のルアーはありませんが、研究者たちはPonyFinalオペレーターがどこに行くのか気づきました 最も効果的 コロナウイルスの大流行の混乱の中で身代金を抽出する際に。
注意すべき脅威
人間が操作するランサムウェアは、攻撃者が誰かに実行ファイルをクリックさせようとする典型的な自動マルウェアとは異なります。 これらのキャンペーンは、アクティブな手段を使用して、リモートデスクトップ接続または安全でないインターネット向けサービスのどちらであるかに関係なく、初期エントリベクトルを見つけます。 この人間的要素は、潜在的な犠牲者が直ちに行動を起こすことを要求します。
「その反対側に人間がいます...実際にランサムウェアがネットワークに展開されるものを通過して指示します」とMisnerは説明します。 「基本的に顧客をXNUMX対XNUMXで攻撃する敵がいるという即時性が、ここで懸念とリスクを引き起こすはずです。」 彼は私たちがこれらのタイプの攻撃に上昇が見られると信じています。
人間が操作するランサムウェアから身を守るために、 マイクロソフトは助言します インターネットに接続する資産を強化し、最新のセキュリティアップデートを確実に適用する。 脅威と脆弱性の管理を使用して、資産の脆弱性と誤設定を監査する必要があります。 専門家は、最小限の特権の原則を採用し、ドメイン全体の管理者レベルのサービスアカウントの使用を避けることを推奨しています。
企業はブルートフォース攻撃を監視し、認証の失敗が過度に失敗していないかを確認する必要があります。 また、イベントログ、特にセキュリティイベントログとPowerShell操作ログのクリアも監視する必要があります。
関連性のあるコンテンツ:
Kelly Sheridanは、Dark Readingのスタッフ編集者であり、サイバーセキュリティのニュースと分析に焦点を当てています。 彼女は、以前にMicrosoftを担当したInformationWeekと、金融を担当したInsurance&Technologyに報告したビジネステクノロジージャーナリストです… フルバイオグラフィーを見る
推奨書籍:
より多くのインサイト