最近発見されたファイル暗号化ランサムウェアが、産業用制御システム(ICS)オペレーターの懸念を高めている。Go言語で書かれたSNAKE/EKANSランサムウェアは、ファイルを暗号化することで被害者を恐喝しようとするもので、被害に遭った人々にはハッカーの要求に応じる以外の選択肢はほとんどない。このランサムウェアが使用するプロセスキルリストは、2019年に脅威として出現したMegaCortexランサムウェアの亜種に似ている。
Nozomi Networks ラボでは、新たな脅威を積極的に監視・分析しています。ここでは、SNAKE/EKANSに関する当社の見解と、ICSシステムを保護するための推奨事項をご紹介します。
Nozomi Networks 顧客をスネークから守る
1月6日、倫理的ハッカーであるVitali Kremez氏(@VK_Intel)のツイートによってSnakeのニュースが最初に流れたとき、Nozomi Networks Labsの研究者は直ちに情報源に連絡を取り、予備分析のために悪意のあるマルウェアのサンプルを収集した。
翌日、マルウェア研究者のsysopfb(@sysopfb)は、ランサムウェアの文字列を解読するためのメモをGitHubに投稿した。これらの研究者が共有した情報と当社独自の分析を組み合わせて、1月8日、Nozomi Networks Labsは、当社のThreat Intelligence リポジトリにSnake ランサムウェアのシグネチャとルールを追加しました。
Nozomi Networks ラボがヘビについて発見したこと
Nozomi Networks ' マルウェアの分析では、Snake は拡散を試みず、手動による伝播に依存していることがわかりました。感染経路には、悪意のある電子メールの添付ファイルや、パッチが適用されていない、またはセキュリティが不十分なサービスの悪用が含まれます。
当初、私たちはランサムウェアのサンプルに、ICS環境で一般的に見られるプロセスに関連する文字列が含まれていることに気づきました。さらに調査を進めると、このランサムウェアはさまざまなプロセスを停止させることができ、そのうちのいくつかはICSに関連するもので、その後、アクセス可能なすべてのファイルを暗号化しようとすることがわかりました。このプロセスリストは、2019年に出現したランサムウェアであるMegaCortexが使用していたものと非常によく似ていた。MegaCortex はNozomi Networks Threat Intelligence サービスでも取り上げられている。
ヘビの襲撃を防ぐ
ランサムウェア攻撃が成功すると、被害者はハッカーの要求に応じる以外に選択肢がなくなり、非常に衰弱する可能性がある。
企業はこの脅威を深刻に受け止め、各組織が一般的なセキュリティ・ガイドラインに従っていることを確認する必要がある:
- メール内容のスキャンとフィルタリングで悪質なキャンペーンを阻止
- フィッシング・キャンペーンの被害に遭わないよう、全従業員にセキュリティ意識を徹底させる。
- ネットワークインフラストラクチャのヘルスチェックを行う。正しいネットワーク分離とファイアウォール・ポリシーが実施されていることを確認することが重要です。
- すべてのデバイスとサービスにパッチが適用され、既知の攻撃に対する脆弱性がないことを確認する。
- 影響を受けたファイルへの迅速なアクセスをサポートするバックアップ・ポリシーの導入
Snake ランサムウェアは攻撃的な性質を持つため、この脅威を防止・検知するために複数の対策を講じることが重要です。これには、従業員や担当者が偽メールや悪意のあるメールをより適切に識別できるようにするための、継続的なセキュリティ意識向上トレーニングも含まれます。
SPAM フィルタやファイアウォールに加え、Nozomi Networks Labs では、異常な行動を特定する異常検知テクノロジーと、既知の脅威に関連する不審な行為者について追加のコンテキストを提供する従来の脅威検知機能の両方を使用することを推奨しています。
この脅威の発表から48時間以内に、Nozomi Networks Labsチームは、お客様の環境におけるSnakeの検出に役立つ新しいルールとシグネチャを追加しました。これにより、既知の脅威である Snake に関連する不審なアクティビティに対してアラートが発 生し、インシデントを迅速に検出して修復することができるようになります。Nozomi Networks Threat Intelligence サービスをご利用のお客様は、これらの新しいルールを有効にするために、システムが最新バージョン(2020年1月9日現在)を実行していることをご確認ください。
