米国連邦捜査局(FBI: Federal Bureau of Investigation)は1月6日(米国時間)、「Egregor Ransomware Targets Businesses Worldwide, Attempting to Extort Businesses by Publicly Releasing Exfiltrated Data - FBI」において、世界中で150を超える組織がランサムウェア「Egregor」の被害を受けたと伝えた。FBIは2020年9月の段階でEgregorランサムウェアを確認しており注意を呼びかけている。
-
Egregor Ransomware Targets Businesses Worldwide, Attempting to Extort Businesses by Publicly Releasing Exfiltrated Data - FBI
FBIはEgregorに関して、複数の異なる攻撃者が侵入およびランサムウェアイベントの実行に関与するといったように、感染と展開に多数のアクターが関与し、その活動に使われる戦術、技術、手順が大きく異る点を指摘。結果として、防御と軽減の実施に関して重大な課題をもたらしていると警告している。
推奨されている緩和策は次のとおり。
- 重要なデータはオフラインでバックアップを取る
- 重要なデータのコピーがクラウドや外付けのハードディスクなどにあることを確認する
- 削除や変更が行われないように、システムからバックアップしたデータにアクセスできないようにする
- すべてのホストにウイルス対策またはマルウェア対策ソフトウェアをインストールして、定義ファイルを定期的に更新する
- 安全なネットワークのみを使用し、公衆Wi-Fiは使わない
- 2要素認証を使用するとともに、電子メール内の不審なリンクのクリックや添付ファイルのオープンは行わない
- 最近のRDP関連の脆弱性に関してパッチを適用する(CVE-2020-0609、CVE-2020-0610、CVE-2020-16896、CVE-2019-1489、CVE-2019-1225、CVE-2019-1224、CVE-2019-1108)
- 疑わしい.bat、.dll、.logなどや抽出フィルタを確認する
- アクセス制限および多要素認証および強力なパスワードの使用でRDPを安全に構成する
FBIは被害者に対して株主や従業員、顧客を保護するために身代金の支払いを検討することの必要性は理解できるとしつつ、攻撃者に対して身代金を支払うことは推奨できないと説明。身代金を支払うことで、攻撃者は他の組織も攻撃対象にするようになることに加え、他の違法な活動に対する資金を提供することにつながること、支払いを行っても暗号化されたファイルが復号化される保証はないことなどを説明している。
