piyolog

piyokangoの備忘録です。セキュリティの出来事を中心にまとめています。このサイトはGoogle Analyticsを利用しています。

Citrix脆弱性悪用と窃取データ公開が行われたランサムウェア被害事例についてまとめてみた

フランスのクラウドホスティング事業者がランサムウェアによるシステム侵害を受けたもののバックアップにより数日で復旧したことが報じられました。しかし、その後この攻撃に関与したとみられる人物が同社から盗んだ情報を公開する行為を行いました。ここでは関連する情報をまとめます。

当時0dayだったCitrixの脆弱性悪用

  • ランサムウェア被害を受けたとして報じられた企業は「BretagneTélécom
  • フランスで約3000の顧客を対象にインターネットや電話サービスの提供、クラウドホスティング事業などを行っている。管理しているサーバーは約1万台。
    f:id:piyokango:20200229071216p:plain
    BRETAGNE TELECOM社のWebサイト
  • 同社サイト(公開されたページ)から今回の件に関連する詳細情報を確認できなかったが、Twitterでは1月20日頃にインシデント発生を報告する投稿が行われていた。
  • 取材対応したCEOによれば、攻撃はCitrixの脆弱性 CVE-2019-19781の悪用により、同社のGateway製品が制御下に置かれていたため。攻撃を受けた当時は未修正(0day)の状態だったという。

piyolog.hatenadiary.jp

  • 攻撃は真夜中に発生し、影響を受けたデータは全て暗号化されてしまった。30TB相当のデータ量に被害が及んだ可能性がある。
  • 被害を受けたシステムには約30の小規模な顧客システムがホスティングされていた。この中には古いOSで実行されたビジネスソフトウェア用のアプリケーションサーバーも存在した。
  • 取材によれば同社への身代金は35 BTC、または300,000ユーロ以上が要求されたという。同社はこれに応じていない。

被害から3日で復旧

  • ランサムウェアによる被害は同社の監視システムが異常検知し事態を把握。
  • 復元は高速に行うことができた。これはPure Storage Arrayのスナップショットバックアップシステムを用いていたためだという。
  • このスナップショットを使用することで最大5日前までデータを戻すことが可能。復旧は即時に行わずまずシステムの洗浄作業を行った。
  • ネットワーク隔離後、システムを1つずつ再起動の上洗浄作業を実施。この作業を通じて攻撃者によるスケジューリングされた暗号化タスクのインストール時間を把握できた。
  • 復旧には最終的に3日間を要した。Twitterでは1月23日に復旧報告の投稿が行われている。ストレージ使用量の少ない顧客は復旧作業に6時間以上を要することはなかった。
  • 復旧中には関係者(CNIL、顧客、監査人)に警告情報を発した。

その後 盗まれた情報が公開

  • 2月23日にBretagneTélécomより窃取されたとみられる複数のデータが「Doppel Leaks」と呼称されたサイト上に公開された。
  • 公開された情報はサンプルとされる4つのZIPファイル、148台のOS、ホスト名が列挙された一覧。

f:id:piyokango:20200301041156p:plain
同社より盗んだとみられる情報を公開するページ

  • ZIPファイルには従業員の一覧やExchangeサーバーのクレデンシャルリスト、メールの添付ファイル、デジタル証明書とみられるデータ等が複数含まれていた。

f:id:piyokango:20200301040912p:plain
ファイル更新日付は2020年1月19日が目立つ
f:id:piyokango:20200229111604p:plain
Exchangeサーバーのクレデンシャルとみられる一覧

  • ここ最近、ランサムウェアの脅迫ルーティンへシステム侵害時に情報を盗みそれを脅迫に使うケースが確認されており、DoppelPaymerも同様の対応を行ったとみられる。DoppelPaymerはこのサイトは試行版と取材に対し説明したという。
  • Doppel LeaksにはBretagneTélécom以外に複数の組織(2月29日時点で7つ)が掲載されている。例えば2019年11月に被害が報告されたメキシコ国営石油企業のPemexも名前が載っている。

f:id:piyokango:20200301040220p:plain
DoppelPaymerによる被害組織の公開リスト
組織を狙ったランサムウェアによる脅威として、これまでは①に注目した対策(バックアップ等)が中心だったが、②についても意識すべきとBleepingComputerなどは警鐘を鳴らしている

①可用性侵害の脅威 システムや機微情報を暗号化される
②機密性侵害の脅威 機微情報を盗み、それを他者に販売する、ネット上に公開する

②の事例が確認されたランサムウェア以下のもの。

DoppelPaymerというランサムウェア

  • 今回攻撃に用いられたランサムウェアは「DoppelPaymer」と呼称されるもの。CrowdStrikeが2019年7月に調査報告を公開している。

www.crowdstrike.com

  • CrowdStrikeが被害発生を認知したのは2019年6月、その後の調査で2019年4月以前の存在が確認された。
  • 2017年頃から被害が報告されていたBitpaymerの亜種とみられ、DoppelPaymerでは大半のソースコードが共有されている。
  • 用いられた暗号化の実装(AES-256を利用)から、最新のBitPaymerのソースコードを流用(最近RC4からAESへ移行)している可能性がある。
  • BitPaymerのアクター(INDRIK SPIDER)の分派がDoppelPaymerに関与している可能性。両ランサムウェアとも活動はアクティブな状況。
  • 脅迫文には要求する身代金額の表記がなく、CrowdStrikeが認知している事例では3例(2BTC,40BTC,100BTC)が確認されている。

CrowdStrikeによればソースコードフォークをしたBitPaymerからいくつか新機能がDoppelPaymerに実装されている。

  • ファイルの暗号化実装の高速化(スレッド化)、ネットワーク情報の収集にARPテーブルを利用。
  • ランサムウェアの起動には特定文字列の引数が必要。引数を元にCRC32のチェックサムを計算しハードコードされた定数を加える。この定数はビルド毎に一意に生成。自動解析妨害を目的とした可能性。
  • ProcessHackerにバンドルされているプロセス、サービス終了に利用可能なカーネルドライバの悪用。

DoppelPaymerの表示する脅迫メッセージは以下。

Your network has been penetrated.

All files on each host in the network have been encrypted with a strong algorythm.

Backups were either encrypted or deleted or backup disks were formatted.
Shadow copies also removed, so F8 or any other methods may damage encrypted data but not recover.

We exclusively have decryption software for your situation
No decryption software is available in the public.

DO NOT RESET OR SHUTDOWN – files may be damaged.
DO NOT RENAME OR MOVE the encrypted and readme files.
DO NOT DELETE readme files.
DO NOT use any recovery software with restoring files overwriting encrypted.
This may lead to the impossibility of recovery of the certain files.

To get info (decrypt your files) contact us at your personal page:

1. Download and install Tor Browser: hxxps://www.torproject.org/download/
2. After a successful installation, run the browser and wait for initialization.
3. Type in the address bar:

[TORで接続するサイト]

4. Follow the instructions on the site
5. You should get in contact in 48 HOURS since your systems been infected.
6. The link above is valid for 7 days.
After that period if you not get in contact
your local data would be lost completely.
7. Questions? e-mail: btpsupport@protonmail.com
If email not working – new one you can find on a tor page.

The faster you get in contact – the lower price you can expect.

DATA

更新履歴

  • 2020年3月1日 AM 新規作成