セキュリティの専門家は、ランサムウェア攻撃の被害者はすべてのパスワードを変更する必要があると警告します
組織がランサムウェアに見舞われると、多くの人は、データをできるだけ早く復元することしか気にしないと考える傾向があります。しかし、今週初めに、サイバーセキュリティレポーターのブライアンクレブスは、 Virtual Care Provider Inc.(VCPI)という名前のITサービスプロバイダーに対するランサムウェア攻撃の話をしました。ハッカーが他人のデータを人質にしたときにプレイします。
おそらく、VCPIは45州の100以上の老人ホームと医療施設にサービスを提供しているという事実から始めるべきでしょう。このような企業のITインフラストラクチャの破壊は非常に壊滅的である可能性があることを確認するのはそれほど難しいことではありませんが、実際の危険の程度は、攻撃がどのように展開したかを見るまで明らかになりません。
攻撃者がVCPIのネットワークでRyukランサムウェアを解き放った11月17日の早朝に初めて気付きました。その後すぐに、クラウドサービスプロバイダーがホストするすべてのデータが暗号化され、VCPIは、1400万ドルという驚異的なビットコインを支払えばファイルをロック解除するキーを持つことができると言われました。これはかなり大きな身代金ですが、人質に保持されたデータの量も同様です。
Table of Contents
この攻撃はVCPIとその顧客に恐ろしい影響を与えました
VCPIの顧客は、電子メール、電話、課金システム、給与計算業務など、あらゆるものにアクセスできなくなりました。患者の記録にはアクセスできず、一部の医師は攻撃のために重要な薬物を注文することができませんでした。つまり、一部の患者にとって、ランサムウェア感染は致命的な結果をもたらす可能性がありました。事件の数日後、VCPIのCEOであるカレン・クリスチャンソンは、 ブライアン・クレブスに 、自分の会社には身代金を支払うためのリソースがなく、攻撃はデータホスティングビジネスの終わりを非常にうまく綴ることができると語った。
ただし、最初の予測は実現しませんでした。 VCPIの顧客は、攻撃を受けて重大な問題を経験しましたが、ホスティングプロバイダーはデータの復元に成功しました。おそらく、VCPIが受けたPR損害の量を制限するために、Karen ChristiansonはBrian Krebsに会社の回復方法に関するフォローアップレポートを書くよう依頼しました。クレブスはインタビューをスケジュールすることに同意しましたが、日付と時刻が合意された直後に、彼はすぐに注意を引く電子メールを受け取りました。
浸潤の程度が明らかになります
このメッセージは、VCPIを攻撃したハッキンググループのメンバーからのものであるとされ、少なくともブライアンクレブスにとってはそれほど珍しいことではありません。しかし、メールのリクエストはかなり奇妙でした。詐欺師はクレブスに、VCPIのCEOに身代金の割引オファーがまもなく期限切れになることを思い出させるように依頼しました。
疑わしいランサムウェアオペレーターは、どういうわけか予定されているインタビューに気付いており、クレブスはこの知識が推測に基づいていることを疑っていました。サイバーセキュリティレポーターは、ハッカーはランサムウェアに加えて、VCPIの内部システムと通信へのアクセスを可能にする他のツールを使用したと考えました。 Krebsは、Hold Securityの専門家に電話をかけ、侵害の範囲をよりよく理解してもらうよう依頼しました。
すぐに、調査によりVCPIのインフラストラクチャが2018年9月に初めて侵入されたという証拠が得られました。これはおそらく、マクロ命令が組み込まれた悪意のあるWord文書の使用によるものです。 Word文書はEmotetをダウンロードしました。これは、ネットワーク内で横方向に移動できるワームのような機能で有名なマルウェアファミリです。
ハッカーはパスワードを盗み出し、Ryukランサムウェアを展開しました
Emotetを使用してVCPIのネットワーク内に足場を確立した後、詐欺師はTrickbotを展開しました。これは、その汎用性と強力な資格情報窃盗機能を歓迎する銀行のトロイの木馬です。ホールドセキュリティの専門家は、詐欺師間の通信を傍受することさえできました。これは、VCPI攻撃中に、最大300のWebサイトとオンラインサービスプロバイダーのユーザー名とパスワードが侵害されたことを示唆しています。これらには、パスワード管理プラットフォーム、銀行、請求、および給与ポータル、処方管理および医療供給サービス、出荷および郵送口座などが含まれていました。公式には、インタビューがその直後に突然終了したという事実は、CEOが窃盗についてまったく知らなかったことを示唆しています。
しばらくの間、ランサムウェアオペレーターは、エンドユーザーではなく組織に焦点を合わせてきました。私たちはもはや、大混乱を引き起こして手っ取り早く金を稼ごうとしているスクリプトキディの話をしていません。より最近の攻撃は、非常に多くのツールとリソースを自由に使える洗練されたハッキングクルーによって実行されます。また、ランサムウェアの展開は、全体のほんの一部に過ぎないこともあります。 VCPIのような組織は、ハッカーがさまざまな面で攻撃を仕掛けることができること、そしてログインデータがしばしばよく知られている簡単な成果であることを学習する必要があります。ブライアンクレブスがレポートで結論付けたように、ランサムウェアに関係するかどうかに関係なく、サイバー攻撃を受けた企業のパスワードの変更は優先リストの上位にあるべきです。