アメリカ連邦調査局(FBI: Federal Bureau of Investigation)およびアメリカ合衆国財務省金融犯罪取締ネットワーク(FinCEN: Department of the Treasury’s Financial Crimes Enforcement Network)は3月22日(米国時間)、ジョイントサイバーセキュリティアドバイザリ「JOINT CYBERSECURITY ADVISORY - Indicators of Compromise Associated with AvosLocker Ransomware」において、「AvosLocker」ランサムウェアに感染しているかどうかを判断するための情報を公開した。

  • JOINT CYBERSECURITY ADVISORY - Indicators of Compromise Associated with AvosLocker Ransomware

    JOINT CYBERSECURITY ADVISORY - Indicators of Compromise Associated with AvosLocker Ransomware

AvosLockerはRaaS (Ransomware as a Service)アフィリエートベースの犯罪者グループ。金融、製造業、政府施設など、米国の複数のインフラストラクチャ分野を主な標的としてサイバー攻撃を仕掛けている。なお、これ以外の組織も対象になっている。

AvosLockerによる侵害を受けていることを示す主な情報は次のとおり。

  • 暗号化されたファイルの拡張子が「.avos」、「.avos2」、「AvosLinux」などになっているほか、感染したディレクトリに「GET_YOUR_FILES_BACK.txt」というファイルが作成される
  • 直接電話で連絡を取ってくる。特定のサイトへ行くように要求し、従わない場合はデータを流出させると脅してきたり、交渉中に分散型サービス拒否攻撃(DDoS: Distributed Denial of Service attack)を仕掛けてきたりすることもある
  • AvosLockerのパブリックリークサイトに窃取したデータを漏えいさせる

AvosLockerの一部の被害者はオンプレミスのMicrosoft Exchange Serverの脆弱性を悪用して侵入されたほか、Proxy Shellの脆弱性などを突いて侵入されている。

セキュリティアドバイザリでは、対処方法として以下を取り上げている。

  • 機密データを複数の物理的に分離された安全な場所へコピーして保管するとともに、復旧計画を策定する
  • ネットワークセグメンテーションを実現するとともに、データのオフラインバックアップを取る
  • 定期的にデータをバックアップし、バックアップコピーをオフラインでパスワードで保護する
  • すべてのホストにウイルス対策ソフトウェアをインストールして定期的に更新し、リアルタイムに検出する
  • オペレーティングシステム、ソフトウェア、ファームウェアを最新のバージョンに維持する
  • ドメインコントローラ、サーバ、ワークステーション、アクティブディレクトリに新しいユーザーや未認証のユーザーアカウントがないことを確認する
  • 管理者権限のあるユーザーアカウントを監査する
  • 管理者権限は最小限の権限に絞る
  • 未使用のポートを無効化する
  • 外部から受信したメールにメールバナーの追加を検討する
  • 受信したメールのハイパーリンクを無効化する
  • 可能であれば多要素認証を導入する
  • 強力なパスワードを使用するとともに、定期的に変更を行う
  • 複数のアカウントでパスワードの再利用を行わない
  • ソフトウェアのインストールには管理者認証を要求する
  • 安全なネットワークのみを使い公共のWi-Fiは使用しない
  • VPNを導入する
  • サイバーセキュリティに関する教育に力を入れる

アドバイザリでは、追加の情報として米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA: Cybersecurity and Infrastructure Security Agency)の提供している「Stop Ransomware | CISA」なども参照することを薦めている。