Blog

FIN12: 医療機関をターゲットに含むランサムウェア攻撃グループ

Joshua Shilko, Zach Riddle, Jennifer Brooks, Genevieve Stark, Adam Brunner, Kimberly Goody, Jeremy Kennelly
Oct 07, 2021
3 mins read
Financial Threat Groups (FIN Groups)
Ransomware
Threat Intelligence

10月7日、Mandiant Intelligenceは、少なくとも2018年10月以降に発生した多量のランサムウェア攻撃の背後にいる、攻撃的で金銭的な動機を持つ攻撃グループであるFIN12の詳細を示す包括的なレポートを発表しました。FIN12は、今日の多くのランサムウェアに特化した攻撃者の中でもユニークな存在であり、通常は複数の恐喝を行わず、医療分野にも影響を与えています。また、この攻撃グループは、攻撃ライフサイクルの特定のフェーズ、つまりランサムウェアの展開に特化し、被害組織への初期アクセスを取得する段階は他の攻撃グループに依存しているとして私たちが初めて特徴付けたFIN攻撃者でもあります。このような特殊性は、現在のランサムウェアのエコシステムを反映しています。エコシステムは、緩い関係にあるさまざまな攻撃者が互いに協力して構成されており、その関係は独占的なものではありません。

公開されたレポートでは、FIN12に起因する過去の活動や現在進行中の活動、初期アクセス・プロバイダを含む活動を可能にするパートナーの利用、グループの戦術、技術、手順の進化、Cobalt Strike BEACONの広範な利用の傾向などが網羅されています。

Mandiant Security Validation (Validation) Behavior Research Team (BRT)は、VHR20210922-FIN12を作成しました。これは、Validation Customer PortalのContentページからアクセス可能です。

また、上記レポートで参照されている以下のレポートをMandiant Advantage Freeに公開しています。

FIN12 badge
図1:FIN12バッジ

FIN12の被害者

FIN12のオペレーションは、重要な医療機能を提供している組織を含め、ランサムウェアの攻撃を受けないターゲットは存在しないことを示しています。直接観察されたFIN12の被害者の約20%はヘルスケア関係者で、これらの組織の多くは医療施設を運営しています。2020年10月に米国の複数の政府機関が病院や医療施設に対する「増大し、差し迫った」脅威を警告する共同アラートを発した前後に、医療機関でFIN12の活動を確認しました。このようなパターンは、特にCOVID-19パンデミックの際には、少なくとも病院を標的にすることを控えると表明していた他のランサムウェアの脅威とは異なります。FIN12の残りの被害者は、ビジネス・サービス、教育、財務、政府、製造業、小売業、技術など、幅広い分野におよびます。

これらの被害者組織は圧倒的に北米に集中していますが、FIN12が標的としている地域が拡大していることを示す証拠もあります。同グループの既知の被害者の85%近くは北米を拠点としていますが、2021年上半期には、北米以外を拠点とする被害者組織の数が、2019年と2020年に観測した数の2倍になりました。これらの組織は、オーストラリア、コロンビア、フランス、インドネシア、アイルランド、フィリピン、韓国、スペイン、アラブ首長国連邦、英国に拠点を置いています。このような変化は、FIN12がより多様なパートナーと協力して初期アクセスを獲得したことや、米国政府からの注目度が高まっていることなど、さまざまな要因が考えられます。

FIN12のターゲット計算で最も重要な要素は、被害者の年間収益額であると考えています。ZoomInfoの企業財務データによると、FIN12の被害者の大半は、3億米ドル以上の収益を上げているとされています。このデータは、私たちが直接確認することができる範囲に偏っていますが、FIN12は、平均的なランサムウェアのアフィリエイトと比較して、一貫して大企業をターゲットにしているように見えます。一定の収益を満たす被害者をターゲットにすることは、地下フォーラムの活動とも一致します。RYUKを利用しているものを含め、一部の攻撃グループは、潜在的な被害組織の年間収益の最低条件に対してさまざまな異なる範囲の最小要件を指定しています。さらに、FIN12の初期アクセスプロバイダが運営するマルウェア管理パネルの収益情報を詳細に説明したコメントによると、これは被害者の選択、あるいは少なくとも攻撃対象となり得る組織の優先順位付けに関連する要素であることが示されています。FIN12が高額の標的を選んでいるのは、近年、攻撃グループがより大規模な組織狙うようになった傾向と一致しています。その理由はほぼ確実に、身代金の要求額が比例して大きくなることを正当化するためだと思われます。

寄生と共生

FIN12は、活動開始から2020年3月までの間、ランサムウェア攻撃の起点として、TRICKBOTでのアクセスのみを利用していることが確認されています。しかし、2020年8月に約4ヶ月の休止期間を経て活動を再開した後、FIN12が利用した初期アクセス経路はますます多様化しました。少なくともいくつかの場合において、これらのばらつきは、異なる初期アクセス・プロバイダーの利用を反映している可能性があります。例えば、2021年初頭、FIN12の活動の最初の証拠が被害者のCitrix環境へのログインであるケースをいくつか直接確認しました。この活動は、地下コミュニティで活動する複数のロシア語を話す攻撃者が、RYUKランサムウェア・オペレーションのためにCitrixへのアクセスを提供できるパートナーを探しているという当社の見解とも一致します。現時点では、これらの攻撃者をFIN12に帰属させる十分な証拠はありませんが、それでもこうした動きは、FIN12が攻撃を行う際にひとつの初期アクセス・プロバイダーに依存しているわけではない可能性をさらに裏付けるものです。このような分業体制は珍しいことではなく、サイバー犯罪のエコシステム全体の専門性や特殊性を反映しています。

最初の侵入経路が特定された多くのインシデントでは、最初のアクセス・キャンペーンと同じ日にFIN12の活動が観察されており、FIN12が少なくとも一部の攻撃グループと密接な関係を保ち、アクセスを提供していることが示唆されています。特にFIN12は、TRICKBOTやBAZARLOADERの関連攻撃グループと密接な関係を保っています。FIN12は、これらのファミリーを介して得たアクセスを活用するだけでなく、バックドア、ドロッパー、証明書のコード化など、重複するツールセットやサービスを利用しています。このような共通点があるにもかかわらず、FIN12を別個の攻撃グループとして追跡しているのには理由があります。それは、ランサムウェアの展開において特定の役割を果たしていること、これらのファミリーとは独立して活動できる能力を備えていること、また、これらのマルウェア・エコシステムを介して得られたアクセスを利用してランサムウェアを展開している他の独立した攻撃グループがいることといった理由からです。

Directly observed initial accesses leveraged by FIN12
図2:直接観測されたFIN12による初期アクセス

スピードを優先

FIN12は、組織への初期アクセス取得を他の攻撃グループに任せ、自らはランサムウェアの展開に特化しており、これによってランサムウェアまでの時間(TTR:Time-to-Ransom)という点で成果を上げています。TTRは、FIN12が最初に環境にアクセスしてから、ランサムウェアを展開し始めるまでの時間として計算しています。2021年上半期、FIN12は2020年と比較して、TTRを大幅に改善し、わずか2.5日と半減しました。このような効率化は、攻撃ライフサイクルの単一フェーズに特化することで可能となり、攻撃グループは専門知識をより早く身につけることができます。また、FIN12は、今日のランサムウェア攻撃者の脅威状況では一般的になっている多面的な恐喝行為を通常行わないという点でも際立っています。FIN12が被害者データの盗用や被害者を晒す行為を控えることを決めた最も大きな要因は、業務のスピードに影響を与えることではないかと考えられます。データ盗難が発生したFIN12案件の平均TTRは12.5日弱で、データ盗難が発生しなかった場合はわずか2.5日と大きなきな違いがあります。FIN12が目的を達成するまでに環境に滞在する日数が増えるごとに、検知されるリスクが高まります。FIN12が追加の恐喝手段を取り入れずに目的を成功させているのは、このような意図があると考えられます。

FIN12’s Time-to-Ransom (TTR)
図3:FIN12のランサムウェアまでの時間(TTR)

予想される結果

Ransomware-as-a-Service(RaaS)を運営する攻撃者は、多面的な恐喝攻撃において重要な役割を果たしていますが、これらのサービスのブランディングやコミュニケーションの要素に注目すると、他の重要なプレイヤーが見えなくなってしまいます。FIN12のような侵入型の攻撃者は、間違いなくこれらの活動においてより重要な役割を果たしていると思われますが、あまり注目されていません。これらの攻撃者は、被害者のネットワークを操作したり、ランサムウェア自体を展開したりしており、少なくともいくつかのケースでは、標的の選定に直接関与している可能性があります。この役割に必要なスキルセットは、これまでマルウェアの開発や配布、キャッシュアウト業務の管理に重点が置かれてきたサイバー犯罪のアンダーグラウンドでは、相対的にあまり発達していないかもしれません。また、侵入チームへの参加者を募集し、時には偽装して雇用しようとする攻撃グループの勧誘を常に目にしていますが、これはこの分野の人材不足を反映しているのかもしれません。注目すべきは、侵入グループは通常、特定のRaaSブランドに忠誠を誓っておらず、複数のブランドを簡単に切り替えたり、同時に使用したりできることを示していることです。これらの忠誠心の変化は、FIN12などの侵入オペレーターが、特定の時点で配布することを選択したブランドやランサムウェア・ファミリーに専念するのではなく、セキュリティ・チームや組織が理解し、追跡することが重要である主な理由です。

FIN12レポートをダウンロードしてご一読ください。

謝辞

本レポートの調査、マルウェアの分析、データの解析、執筆、レビューには多くのスタッフが参加しており、彼らの協力なしには本レポートが日の目を見ることはありませんでした。また、分析の基礎となるデータの多くを収集し、正規化してくれたインシデントレスポンダー、Managed Defenseのアナリスト、Advanced Practicesチーム、アンダーグラウンドの研究者の何千時間にも及ぶハードワークにも多大な感謝の意を表したいと思います。Mandiantが発行するすべてのレポートは、大規模なチームワークの賜物であり、さまざまな分野で活躍する世界トップクラスの専門家集団と仕事をする機会に感謝しています。残念ながら、簡略化のために、この業務に貢献したすべての人の名前を挙げることはできませんが、いくつかの個人やチームの努力を特に紹介したいと思います。

以下の担当者やチームが、本報告書の作成チームに重要な分析支援をしてくださいました。

  • Jordan Nuce 

  • Ioana Teaca 

  • Van Ta 

  • Aaron Stephens 

  • Bryce Abdo 

  • Sandor Nemes 

  • Jessa Valdez 

  • Thomas Pullen 

  • Moritz Raabe 

  • アムステルダムとウクライナのリサーチ・オフィス

最後になりましたが、今回のレポートのためにグラフィックを作成し、何度も編集に付き合ってくれたAna Foremanに感謝します。

Mandiant Security Validationのアクション

Mandiant Security Validationの以下のアクションを使用して、セキュリティ・コントロールを検証することができます。

Network Actions

VID

タイトル

A100-040

Malicious File Transfer - RYUK, Download, Variant #2

A100-042

Malicious File Transfer - RYUK, Download, Variant #3

A100-044

Malicious File Transfer - RYUK, Download, Variant #4

A100-071

Malicious File Transfer - RUBEUS Tool, Download

A100-072

Malicious File Transfer - SYSTEMBC, Download

A101-850

Command and Control - GRIMAGENT, C2 Traffic, Variant #2

A101-851

Command and Control - GRIMAGENT, C2 Traffic, Variant #1

A101-852

Malicious File Transfer - GRIMAGENT, Download, Variant #1

A101-853

Command and Control - GRIMAGENT, C2 Traffic, Variant #4

A101-854

Command and Control - GRIMAGENT, C2 Traffic, Variant #3

A101-855

Malicious File Transfer - GRIMAGENT, Download, Variant #3

A101-856

Malicious File Transfer - GRIMAGENT, Download, Variant #2

A101-858

Malicious File Transfer - WEIRDLOOP, Download, Variant #2

A101-859

Malicious File Transfer - WEIRDLOOP, Download, Variant #1

A101-862

Malicious File Transfer - MALTSHAKE, Download, Variant #2

A101-863

Malicious File Transfer - MALTSHAKE, Download, Variant #1

A101-864

Malicious File Transfer - ICECANDLE, Download, Variant #3

A101-865

Malicious File Transfer - ICECANDLE, Download, Variant #2

A101-882

Malicious File Transfer - FIN12, Get-DataInfo.ps1, Download

A101-886

Malicious File Transfer - KERBRUTE, Download, Variant #2

A101-909

Lateral Movement - FIN12, RYUK, Execution with PsExec

A101-910

Lateral Movement - FIN12, RYUK, Transfer with PsExec

A101-911

Phishing Email - Malicious Attachment, FIN12, WEIRDLOOP

A101-912

Malicious File Transfer - FIN12, ADFIND Batch Script

A101-920

Phishing Email - Malicious Attachment, FIN12, BAZARLOADER

A101-921

Malicious File Transfer - BAZARBACKDOOR, Download

A101-922

Command and Control - FIN12, BEACON, Check-In

A101-923

Command and Control - FIN12, DNS Query, Variant #1

A101-924

Command and Control - FIN12, DNS Query, Variant #2

A101-925

Command and Control - FIN12, DNS Query, Variant #3

A101-926

Command and Control - FIN12, DNS Query, Variant #4

A101-927

Command and Control - FIN12, DNS Query, Variant #5

エンドポイントアクション

VID

タイトル

A104-003

Host CLI - RYUK, FIN12, Active Directory Reconnaissance

A104-004

Host CLI - Scheduled Task Called by Run Key, Default Privileges

A104-007

Host CLI - Scheduled Task Called by Run Key, Highest Privileges

A104-012

Protected Theater - RYUK Actor Modify File Permissions

A104-710

Protected Theater - RYUK Actor, Kill Services and Processes

A104-831

Protected Theater - GRIMAGENT, Schtask and Registry for Persistence

A104-842

Protected Theater - FIN12, RYUK, Download and Execution via BITSAdmin

A104-856

Host CLI - FIN12, Active Directory Reconnaissance