-
Analyst's Choice
2FA
Cyber Intelligence
EDR
GmailとMS 365の利用者は注意を:フィッシングキット「Tycoon 2FA」の概要と対策
Rory
2024.04.16
-
Analyst's Choice
AI
ChatGPT
Cyber Intelligence
DarkGPT – ChatGPT-4を活用した、流出データベース検出のためのOSINTツール
Rory
2024.04.15
-
Analyst's Choice
Cyber Intelligence
GitHub
Intelligence
脅威アクターがGitHubを不正な目的で悪用するケースが増加
Rory
2024.02.07
*本記事は、弊社マキナレコードが提携する米Flashpoint社のブログ記事(2023年4月25日付)を翻訳したものです。
Clopは、最近GoAnywhere MFTの脆弱性を利用して多数の組織を侵害した、危険なランサムウェアです。
Clopランサムウェアとは?
Clop(別名「Cl0p」)は2019年に始動した恐喝ランサムウェア型のマルウェアで、ランサムウェア・アズ・ア・サービス(RaaS)モデルとして運営されています。ClopはCryptoMixランサムウェアファミリーの亜種であり、そのリリース以降、改良版がいくつか登場しています。
ランサムウェア自体を見てみると、ClopはWin32 PEファイルであり、検証済みの署名ツールによってデジタル署名された実行可能ファイルを使って配布されます。この処置がファイルをより本物らしく見せ、セキュリティソフトウェアによる検出の回避に一役買っています。Clopはシステムへ侵入後、Windows Defenderの無効化とMicrosoft Security Essentialsの排除を試みます。
大きな注目を集めたAccellionに対する攻撃と、この攻撃をきっかけとするウクライナ政府によるClopのオペレーター6人の逮捕以後、ここ2年ばかりはClopランサムウェアにスポットライトが当たることはあまりありませんでした。しかし最近、Clopはサイバー脅威ランドスケープに多大な影響を及ぼしています。
ここからは、Clopに関して知っておくべき最新の動向についてご紹介します。
Clopによる最新のランサムウェア攻撃
今年の第1四半期を通して、FlashpointはClopの活動が大幅に増加するのを観測しています。被害者数は全体の第2位になるほど増え、これを上回るグループはLockBitのみという状況です。
新たに発見されたClopのこの成功は、Fortra社製ファイル共有ソリューション「GoAnywhere MFT(マネージドファイル転送)」の脆弱性を悪用した攻撃の産物です。このGoAnywhere MFTにおける脆弱性CVE-2023-0669はリモートコード実行(RCE)の脆弱性で、遠隔の攻撃者による、管理コンソール内での特別に細工されたリクエストを用いた任意のコマンド実行を可能にする恐れがあります。
ClopはGoAnywhere MFTの脆弱性を利用し、130もの組織の情報を入手したと主張して、自らのランサムウェアブログ上で定期的に被害者名を明かしてきました。Flashpointのデータ侵害インテリジェンスデータベースのCyber Risk Analytics(CRA)によれば、現時点でCVE-2023-0669に関連する侵害を公表している企業は14社しかありません。このうちいくつかの組織は、Clopのランサムウェアブログにも掲載されています。
※このほか、以下のサイバーアラートでもClopの攻撃について取り上げています:
・【2023年4月28日付】Cl0pランサムウェアがPaperCutにおける脆弱性を4月13日から悪用(CVE-2023-27350、CVE-2023–27351)
・【2023年3月24日付】Clopランサムウェアがシェルや日立エナジーなど60の新たな被害者をリークサイトに追加
・【2023年3月13日付】Clopランサムウェアグループ、GoAnywhereのゼロデイを悪用した攻撃の被害企業を恐喝し始める(CVE-2023-0669)
・【2023年2月13日付】Clopランサムウェア、 GoAnywhereのゼロデイを使い130組織を侵害したと主張(CVE-2023-0669)
Clopランサムウェアを検出し、攻撃を防ぐには?
GoAnywhere MFTの脆弱性を悪用するというClopの新たな戦術を踏まえると、今後起こり得るデータ恐喝事象を防ぐための最善策は、この脆弱性にパッチを適用することです。最新のパッチ(7.1.2)に関する情報や包括的なメタデータは、VulnDBで確認することができます。CVE-2023-0669を利用したClopの成功を受けて脅威アクターたちや不法コミュニティが脆弱性の影響を受けるシステムを探す方法について盛んに議論していることから、同脆弱性への対処は必須です。
ただし、GoAnywhere MFTの脆弱性が、Clopのデジタル兵器庫に存在する唯一の武器だというわけではありません。同ランサムウェアグループは、過去の攻撃においてDDoSやさまざまなフィッシング戦術を利用しているのが知られています。そのため組織には、確実にベストプラクティスに従うことと、確実に適切なセキュリティ管理策を実施することが必要になります。以下に挙げる対策は、データ恐喝事象の発生を防ぐのに役立ちます。
①包括的な脆弱性インテリジェンスを用いて、古いデバイスやソフトウェアをアップデートする。②ツールを利用し、他のランサムウェア攻撃で使用されるのが確認されている重大な脆弱性を優先事項に指定する。(ツールの例:VulnDBにおける「Ransomware Likelihood Prediction Model」など)③管理者ユーザーや高い権限レベルを有するアカウントを頻繁にレビューするとともに、異常な動きがないか管理ログを精査する。④適切なサイバーセキュリティトレーニングを必ず実施するようにし、従業員が不審なメール添付ファイルや有害リンクを特定・報告できるようにしておく。ランサムウェア攻撃への予防・対応はFlashpointで
ランサムウェアへの対応は、予防と同様に重要です。組織にランサムウェアの影響が及ぶような事象においては、演習を重ねて熟成されたインシデント対応計画が用意されていると、損害を大幅に最小化することができます。Flashpointがどのようにセキュリティチームの力を強め、ランサムウェア攻撃の予防・対応に役立つのかについて、詳しくは弊社にお問い合わせいただくか無料トライアルにご登録ください(※)。
※日本でのFlashpointに関するお問い合わせは、弊社マキナレコードにて承っております。
Flashpoint / VulnDBのご紹介
Flashpointは、Deep & DarkWeb(DDW)に特化した検索・分析ツールです。Flashpointを使用すれば、ダークウェブ等の不法コミュニティで脅威アクターたちがどのような議論・取引を行っているのかをモニタリングすることができます。VulnDBはFlashpointの機能の1つで、CVE/NVDにない脆弱性情報や各脆弱性のメタデータを豊富に含んだ脆弱性データベースです。
FlashpointやVulnDBについて詳しくは、以下のフォームからお気軽にお問い合わせください。
