VPN脆弱性を狙ったランサムウェア「Cring」の被害が拡大

トレンドマイクロ社は5月20日に公式ブログにて、「Cring」(クリング)と呼ばれるランサムウェアの被害が、日本国内で拡大していると発表しました。
同社の調査では2021年1~4月の間にインシデント対応を支援したランサムウェア被害事例のうち、およそ7割が「Cring」によるものでした。

ランサムウェア「Cring」とは

「Cring」は2020年12月頃から活動開始したとされている新たなランサムウェアであり、「Crypt3r」をはじめ「Vjiszy1lo」、「Ghost」、「Phantom」、「VnBeHa99y」、「Pay4it」など様々な別名でも呼ばれます。
Cringは不特定多数によるばらまき型の攻撃ではなく、人手によるランサムウェア攻撃 (human-operated ransomware attacks)です。攻撃者自身が様々な攻撃手法を駆使してネットワークへ侵入し、侵入後の侵害範囲拡大等を行った後にランサムウェアに感染させます。
また、ランサムウェアにより暗号化したデータを復旧するための身代金の要求に加え、支払いが無い場合には窃取した情報を暴露すると宣言していますが、リークサイト等の「暴露型」の活動は現在のところ確認されていません。

「Cring」の攻撃手法

NGFW(次世代型ファイヤウォール)やVPNなどネットワーク機器の脆弱性を利用した攻撃による侵入が確認されています。
Fortinet製品のSSL/VPN機能の脆弱性「CVE-2018-13379」に加え「CVE-2019-5591」、「CVE-2020-12812」の3つの脆弱性が標的型攻撃に利用されていることを、米国連邦捜査局(FBI)などが4月に入って改めて注意喚起しています。

注意すべき点として、脆弱性が修正済みにも関わらず被害が発生したケースが日本で確認されています。
上記3つの脆弱性は全て情報を不正に取得される可能性がある脆弱性となっています。つまり、脆弱性を修正する前に攻撃を受けて認証情報を取得されており、脆弱性の修正後にその認証情報を用いて不正アクセスが行われたという可能性が考えられます。

ネットワークへの侵入成功後はコマンド&コントロール(C&C)サーバからの遠隔操作を行い、侵入後の侵害範囲拡大にはリモートデスクトップ(RDP)機能を悪用します。その後Cringランサムウェアを展開し、セキュリティ対策製品の無効化を行った後にCringを実行します。感染端末だけでなく、Active Directoryサーバやファイルサーバなどの重要サーバも暗号化されるケースも確認されています。

被害に遭わないためには

まず、利用中のネットーワーク機器を確認し、速やかに必要なアップデートの適用を行います。
また、アップデート適用前に既に攻撃を受けている可能性を考慮して認証情報を変更することも有効です。
ランサムウェアの基本的対策としてバックアップを行うことも重要です。ランサムウェアはネットワークを介して感染を広げるため、バックアップ先にはネットワークから完全に隔離できる媒体を選択する必要があります。

まとめ

緊急事態宣言が続く中、テレワークを導入する企業は増えているためより一層の注意が必要です。
ランサムウェアの被害に遭った場合はシステムが数日間停止することも予想されるため、BCP(事業継続計画)の想定対象となります。
もし被害に遭った場合にどのような対応をとるべきかあらためて考え直すための機会となれば幸いです。

 

参考サイト:
https://blog.trendmicro.co.jp/archives/27830

※本記事は掲載時点の情報であり、最新の情報とは異なる場合があります。予めご了承ください。