開放RDPポートはランサムウェア攻撃を企てる攻撃者の間で今なお人気の標的

Rory

2023.01.16

「Analyst’s Choice」では、弊社インテリジェンスアナリストが注目の記事をピックアップし、そこで取り上げられた脆弱性やマルウェアなどの脅威情報に対する洞察・ソリューションをコメントしています。

今月の2つ目のトピックは「ランサムウェア攻撃を企てる攻撃者の間で狙われることの多い、開放RDPポート」です。これについて、影響範囲、アナリストの見解、緩和のための戦略、IoCを紹介していきます。

今月の「Analyst’s Choice」、その他の記事はこちら：「LockBit 3.0にワーマブル性能が加わる」、「ランサムウェアが、タイポスクワッティングされたPyPIおよびnpmパッケージを使って開発者を標的に」

アナリスト：

Rory Morrissey

(Intelligence Architect @Machina Record)

開放RDPポートはランサムウェア攻撃を企てる攻撃者の間で今なお人気の標的

リモートデスクトッププロトコル（RDP）ポートがランサムウェア攻撃の実行を目的とする脅威アクターらによって引き続き狙われているのを、Cybleの研究者が観測しました。過去3か月間で、4,783,842件を超える悪用の試みが観測されています。また、複数の重要インフラ部門を出どころとする10,000件超のRDPアクセスがダークウェブフォーラム上で宣伝されている様子も確認されました。

観測されたランサムウェアファミリーは、Redeemer、NYX、Vohuk、Amelia、BlackHuntなどです。Vohuk、Amelia、BlackHuntは最近登場したばかりのランサムウェア種で、VohukとAmeliaの両ランサムウェアの間には、共通点が確認されています。

情報源：1. https://blog.cyble.com/2022/12/02/exposed-remote-desktop-protocol-actively-targeted-by-threat-actors-to-deploy-ransomware/?_hsmi=236631279&_hsenc=p2ANqtz-8SGC-WH0HIB0S7wVHOULM8Mmstn0fbwsM8kGlDErFQDN5O2_6OHf9rEl9UmvzUl1pt1O7elb8ppyw_tBp1KMeY3Lr_gA

アナリストのコメント

影響範囲

ネットワーク接続を介してリモートで別のコンピューターにアクセスし、これを操作するためにリモートデスクトッププロトコル（RDP）を使用しているすべての人が、ランサムウェアの展開を目的としてRDPを利用する脅威アクターの標的となるリスクに晒されています。これには、リモートワークやリモートサポート、またはその他の目的でRDPを使用するあらゆる規模・業界の個人および組織が含まれます。

脆弱な構成（簡単に推測できるパスワードが使用されている、ソフトウェアが最新に保たれていない、など）のRDPを使用している組織および個人は、標的になる可能性がより高く、ランサムウェア攻撃の被害に遭うリスクがより高いです。

見解

複数のセキュリティ企業・機関、およびメディア情報筋の報告によれば、ランサムウェアの展開を目的としたRDPへの攻撃は近年増加中であるとのことです。コロナパンデミックによりリモートワークやリモートサポートが増加したことで、RDPを使用する組織や個人が増えており、その結果、RDPは攻撃者にとってより魅力的な標的となっています。また、ランサムウェア攻撃からは高額の金銭を得られる可能性があるという点も、ランサムウェア展開の手法としてRDPを利用するサイバー犯罪者が増えていることの一因です。

RDPへの攻撃は、ネットワークへの初期アクセスを得るための手段として攻撃者に用いられることが多く、得られたアクセスはその後、ランサムウェアやその他のマルウェアを展開するために使われます。こういった攻撃は旧式のセキュリティ対策を回避できる場合が多く、組織のネットワーク全体へ素早く拡散できるため、非常に効果的である可能性があります。だからこそ、RDP接続を保護することが重要です。そうすることで、初期アクセスが行われるのを阻止し、ランサムウェアの拡散を止めることができます。