米コンピュータ緊急事態対策チーム(US-CERT: United States Computer Emergency Readiness Team)は10月27日(米国時間)、「FBI Releases Indicators of Compromise Associated with Ranzy Locker Ransomware|CISA」において、米連邦調査局(FBI: Federal Bureau of Investigation)から米国の組織を標的としたランサムウェア「Ranzy Locker」に関する詳細情報が公開されたと伝えた。
公開された情報は、次のPDFファイルにまとまっている。
-
FBI FLASH - Indicators of Compromise Associated with Ranzy Locker Ransomware
FBIは2020年後半にRanzy Lockerを確認。2021年7月には米国内の30以上の組織の感染が確認されている。被害はクリティカル製造業部門の建設サブセクター、政府施設部門の学術サブセクター 施設部門、情報技術部門、輸送部門などに及んでいる。攻撃の発端はリモート・デスクトップ・プロトコル(RDP)の認証情報を狙ったブルートフォース攻撃、Microsoft Exchange Serverの既知の脆弱性とフィッシングなど。システム侵入後にはディレクトリごとデータを暗号化して身代金を要求、場合によっては二重恐喝も行われているとされている。
米連邦調査局は、対策方法として次の項目を挙げている。脆弱性のいくつかは深刻度が緊急(Critical)に分類されており注意が必要。
- データをオフラインで隔離された場所へ定期的にバックアップを取る仕組みを設ける(元のデータが存在するシステムからアクセスしてデータの変更や削除ができないこと)
- すべてのマシンを単一のネットワークに所属させず、ネットワークを分割する
- すべてのホストにウイルス対策ソフトウェアをインストールし、定期的に更新し、リアルタイム検知機能を動作させる
- オペレーティングシステム、ソフトウェア、ファームウェアはアップデートが公開されたらすぐにインストールする
- ドメインコントローラ、サーバ、ワークステーション、アクティブディレクトリに認識したことのないユーザーアカウントがないか確認する
- 管理者権限を持つユーザーアカウントを監査するとともに最小限の権限でアクセス制御を行う。すべてのユーザーに管理者権限を与えない
- リモートデスクトッププロトコルを監視して異常な動作がないか調べるほか、使用していないリモートデスクトッププロトコルを無効化する
- 組織外から受信したメールにメールバナーを追加することを検討する
- 受信したメールのハイパーリンクを無効化する
- アカウントやサービスへのログインに二重認証を使用する
