ランサムウェアMazeが医療業界にとって非常に危険である理由
2020年4月27日、Christine Barry
ランサムウェアMazeは、ヘルスケア攻撃の重要な要素になりつつあり、ICPO(国際刑事警察機構)が世界中のプロバイダに警告を発する状態となっています。ランサムウェアは、まったく新しいものではありませんが、進化し続けており、新しい状況とセキュリティの強化に適応し続けています。
Mazeは、以前はChaChaとして知られていたランサムウェアであり、2019年5月に最初に確認されました。2019年11月までに、Mazeは、さらに攻撃的になり、3方面からの攻撃、つまり盗み出し、暗号化、および脅迫に進化しました。下記のとおり、Mazeによる攻撃には複数の段階があります。
- データの盗み出し: 攻撃者が、コンピュータにアクセスするとすぐに、攻撃の最終段階に悪用できるように、データをエクスポートする。
- バックアップの削除: 攻撃者がMazeを実行する。Mazeが、バックアップとシャドーコピーの削除を開始し、暗号化するファイルの拡張子をスキャンする。
- ファイルの暗号化: Mazeが、ChaChaアルゴリズムでファイルを暗号化し、RSA(Rivest-Shamir-Adleman)-248アルゴリズムでChaCha暗号鍵を再暗号化する。また、暗号化したファイルごとに拡張子をランダムなものに変更する。
- ランサム(身代金)の要求: Mazeが暗号化したファイルのディレクトリごとにランサムノート(身代金要求の手紙)DECRYPT-FILES.txtを作成する。ランサムノートにはユーザがランサムを支払う手順とテクニカルサポートへのリンクが記載されている。
- 情報公開の脅迫: ユーザがランサムを支払わない場合は、攻撃者がWebサイトに情報を公開すると脅迫する。攻撃者が公開する情報は、盗み出したデータのすべて、または企業が攻撃を受けたことを証明するだけのデータである。
医療データの大規模な公開には米国ニュージャージー州のMD Lab(Medical Diagnostics Laboratories)を偽装するものがありました。MD Labがランサムの支払を拒否すると、攻撃者は、MD Labに交渉を強制するために、9.5 GBの調査データを公開しました。– 出典
Mazeによる攻撃者は、他のすべての攻撃者と同様、信頼できません。つまり、ランサムを支払っても、復号化鍵を提供せず、盗み出したデータを公開および売却するということです。
Mazeは攻撃全体の一部
上記のとおり、Mazeは実際は攻撃全体の第2または第3の段階で悪用されています。FBI(米国連邦捜査局)からの警告によると、下記のとおり、Mazeによる攻撃の最初の複数の段階は異なる可能性があります。
- スピアフィッシング攻撃: ユーザに認証情報を提供させるか、悪意のあるファイルをダウンロードさせる。
- 悪意のあるWebサイト: 認証情報を盗み出すか、エクスプロイトキットなどの悪意のあるファイルをユーザのマシンにインストールする。このようなWebサイトは政府またはコロナウィルス(COVID-19)関連のWebサイトを偽装している可能性がある。
- スパム攻撃: 悪意のある添付ファイルまたはURLを含んでいる。
ICPOからの情報によると、医療業界へのMazeによる攻撃はメールの本文または添付ファイルにマルウェアへのリンクを含むコロナウィルス関連のフィッシングメールのみで確認されています。
最近の調査によると、攻撃者はランサムウェア攻撃を他の攻撃より実行しています。攻撃サーフェスは、はるかに大きくなっており、非常に多くの従業員が、在宅勤務に移行しているため、オフィス勤務と同じレベルのメール保護を受けることはできません。
企業をランサムウェアから保護するには、多層的なセキュリティを導入して、すべての脅威ベクタを保護し、データを包括的に保護します。ランサムウェア攻撃は複数の方法で実行される可能性がありますが、メールが最大の脅威ベクタです。メール保護には、フィッシング対策テクノロジだけでなく、ランサムウェアがメールボックスに侵入した場合に、エンドユーザが攻撃を認識できるようにするセキュリティ意識トレーニングも必要です。
ランサムウェアの詳細については、バラクーダのブログページとWebページをご参照ください。
製品のご紹介:Barracuda Sentinel, Barracuda PhishLine, Barracuda Backup
原文はこちら:
Why Maze ransomware is so dangerous to healthcare
April 27, 2020 Christine Barry
https://blog.barracuda.com/2020/04/27/why-maze-ransomware-is-so-dangerous-to-healthcare/
No comments yet.