中小企業の脆弱性:「WantToCry」ランサムウェア攻撃の背後にある隠れたリスク
イントロダクション
今日のデジタル環境において、ランサムウェア攻撃は驚くべき速度で進化しており、見落とされがちな脆弱性を悪用してシステムに侵入しています。そのような弱点の一つが 誤って構成されたサーバー メッセージ ブロック (SMB) サービスこれにより、攻撃者は機密データに不正アクセスできるようになります。
ネットワーク上でファイルやリソースを共有するために広く使用されているプロトコルであるSMBは、 弱い認証情報、古いソフトウェア、不十分なセキュリティ構成これらの誤った構成により、サイバー犯罪者が以下の侵入口を開設することになります。
- 不正アクセス システムに。
- 横方向に移動する ネットワーク内。
- 悪意のあるペイロードを展開する 重要なファイルを暗号化します。
最近の活動 WantToCryランサムウェアグループ 攻撃者がSMBの脆弱性を悪用してランサムウェア攻撃を実行するのがいかに容易であるかを強調しています。 サイバー脅威 より洗練され、 SMB構成のセキュリティ確保はもはやオプションではなく必須事項です 重要なデータとインフラストラクチャを保護するため。
WantToCryの初期の足跡
出現と攻撃ベクトル:
その WantToCryランサムウェアグループ、活動開始以来 2023年12月は、 2024次のような複数のネットワーク サービスを対象としています。
- SMB(サーバーメッセージブロック)
- SSH(セキュアシェル)
- FTP(ファイル転送プロトコル)
- RPC(リモートプロシージャコール)
- VNC(仮想ネットワークコンピューティング)
使い方 総当たり攻撃マルウェアは、 100万個のパスワード 弱い認証情報やデフォルトの認証情報を持つシステムを侵害する。
アクセスされると、ランサムウェアはリモートで暗号化します 公開されているネットワークドライブとNAS(ネットワーク接続ストレージ)デバイス攻撃者は支払いの詳細を記した身代金要求メモを残します。
脅威アクターの通信チャネル
WantToCryの運営者は、暗号化されたメッセージングプラットフォームを使用して被害者と通信します。身代金要求メッセージには通常、以下の内容が含まれます。
- テレグラムID: https://t.me/want_to_cry_team
- 毒素ID: 963E6F7F58A67DEACBC2845469850B9A00E20E4000CE71B35DE789ABD0BE2F70D4147D5C0C91
WantToCryの特徴
WantToCryは 典型的なランサムウェアのパターンファイル拡張子を変更し、身代金要求のメモを投下して支払いを要求します。
- ファイル暗号化: ランサムウェアはファイルを暗号化し、拡張子を追加します 「泣きたい」 影響を受ける各ファイルに対して。
- 身代金に関するメモ: テキストファイル 「!泣きたい.txt」 影響を受けるディレクトリに、身代金の支払い手順と連絡先の詳細を記載したメールが作成されます。
実行フロー:
- 偵察:
攻撃者はネットワーク偵察フェーズを実施し、公開されているSMBポート(通常はTCPポート445)を持つシステムを特定します。このステップには、アクセス可能なSMBサービスのスキャンとシステム応答の分析が含まれ、脆弱なセキュリティ構成や未修正の脆弱性を持つ潜在的な標的を特定します。
- ブルートフォースによる搾取:
攻撃者は、公開されているSMBサービスを特定した後、一般的に使用されているパスワードの大規模な辞書を悪用し、SMBサービスに対してブルートフォース攻撃を開始します。この攻撃は、有効な認証情報を取得し、被害者のシステムへの不正アクセスを目的としています。
- 共有ドライブへのアクセスと設定:
認証されると、攻撃者はネットワーク共有を列挙し、機密性の高い、あるいは重要な共有ドライブを特定します。これらのドライブは、インターネット経由のリモートアクセス用にマッピング・設定され、攻撃者は永続的な足場を確立し、ペイロード実行の準備を整えます。
- ペイロード実行(ローカルフットプリントなしの暗号化):
このランサムウェアは、外部ソースから外部に公開されている共有ドライブに対して暗号化活動を行い、ローカルシステムには一切の痕跡を残しません。暗号化プロセスは共有ドライブに保存されているファイルに対して直接実行されるため、被害者のマシンでデータをダウンロードしたり処理したりする必要はありません。これにより、ランサムウェアの影響は共有ドライブ経由でアクセス可能なすべてのファイルとディレクトリに及ぶと同時に、ローカルシステムでの検出やフォレンジック分析の可能性を最小限に抑えます。
問題の概要
SMBは、Windowsネットワークにおけるファイルやプリンタの共有に広く使用されているプロトコルです。コラボレーションには不可欠ですが、適切な認証を行わずにSMBを公開したままにしておくと、攻撃者にとっての侵入口となる可能性があります。
これらのケースでは、影響を受けたシステムに関連付けられたパブリックIPが SMB が有効になっており、認証なしでインターネット経由でアクセス可能これにより、権限のないユーザーが共有ドライブにリモートアクセスできるようになりました。これらの脆弱性が悪用されると、システム防御を回避し、ファイルが暗号化され、データ損失につながる可能性があります。
検出
- 侵害の兆候(IOC)
- 194 [。] 36 [。] 179 [。] 18
- 194 [。] 36 [。] 178 [。] 133
- すでに検出機能がある (HEUR:Trojan.Win32.EncrSD) の 共有ドライブの暗号化アクティビティを行う場所。
誤った設定の結果
SMB を認証なしでパブリックにアクセス可能にしておくと、次のような深刻な結果を招く可能性があります。
- データ侵害: 機密ファイルへの不正アクセス。
- ランサムウェア攻撃: 重要なファイルを暗号化し、料金を支払わなければアクセスできないようにします。
- 運用上のダウンタイム: 回復に時間がかかるため、金銭的損失と評判の損失につながります。
- 攻撃対象領域の拡大: 単純な設定ミスが、好機を狙った攻撃者を引きつける可能性があります。
リスクを軽減するためのベストプラクティス
同様の攻撃の被害に遭わないために、組織は次のセキュリティ対策を実施する必要があります。
- ウイルス対策: 確保 Seqrite / クイックヒール 最新の定義に定期的に更新されます。
- 不要な場合はSMB共有を無効にする: SMB がアクティブに使用されていない場合は、潜在的な露出を減らすために SMB を無効にします。
- SMB アクセスに認証を要求する: 適切な資格情報なしで SMB 共有をパブリックにアクセス可能なままにしないでください。
- パブリックアクセスを制限する: ファイアウォールを使用して、SMB ポート (通常は 445 と 139) への外部アクセスをブロックします。
- 構成を定期的に監査する: ネットワークとファイル共有の構成を継続的に監視および確認し、セキュリティのベスト プラクティスに準拠していることを確認します。
- 高度な検出システムを有効にする: 行動ベースの監視などのツールを使用して、疑わしいアクティビティや異常を検出します。
著者: ウマル・カーン A
共著者: ニラージ・ラザロ・マカサレ、ディクシット・アショクバイ・パンチャル、スミット・パティル、マーティン・タドヴィ
