8日、FBIは国土安全保障省(DoH)/サイバーセキュリティ・インフラストラクチャ・セキュリティ庁(CISA)とともに警告を発しました。概要は次の通りです。
Mambaランサムウェアは、地方自治体や公共交通機関、法的サービス、技術サービス
工業、商業、製造、建設業などの企業を標的にして攻撃しています。
Mambaランサムウェアは、オープンソースのフルディスク暗号化ソフトウェアであるDiskCryptorを利用して
OSを含むドライブ全体を暗号化して、アクセスを制限します。
オペレーティングシステムを含むドライブ全体を暗号化することで被害者がパソコンの操作をできなくします。本来、DiskCryptorは悪意のあるものではありませんが、攻撃するために使用されています。暗号化されると、身代金請求書が表示されます。
ランサムウェアのファイル名、ホストシステム名、復号鍵を入力する場所などが表示されます。
また、復号化キーを入力する場所が表示され、被害者に悪意のある人(ハッカー)のメールアドレスに連絡して、身代金を支払うように指示されます。
FBIは、以下のような緩和策を推奨しています。
- 定期的にデータをバックアップし、エアギャップ・ネットワーク・セキュリティ対策を利用し、バックアップ・コピーをオフラインでパスワード保護する。重要なデータのコピーは、そのデータが存在するシステムから変更や削除のためにアクセスできないようにすること。
- ネットワークのセグメンテーションを行う。
- ソフトウェアのインストールには、管理者の認証が必要にする。
- DiskCryptor が組織で使用されていない場合は、DiskCryptor で使用されるキーアーティファクトファイルを組織の実行ブラックリストに追加します。この暗号化プログラムとその関連ファイルをインストール、または実行しようとする行為を防止する必要があります。
- 機密データや専有データ、サーバーの複数のコピーを、物理的に分離、分割された安全な場所(ハードドライブ、ストレージデバイス、クラウドなど)に維持、保持するリカバリープランを実施する。
- OS、ソフトウェア、ファームウェアがリリースされたら、すぐにアップデート/パッチをインストールする。
- 可能な限り多要素認証を使用する。
- ネットワークシステムやアカウントのパスワードを定期的に変更し、異なるアカウントでのパスワードの使い回しを避ける。パスワードの変更には最短の時間枠を設定する。
- 未使用のリモートアクセス/RDPポートを無効にし、リモートアクセス/RDPのログを監視する。
- 管理者権限を持つユーザーアカウントを監査し、最小の権限を考慮したアクセスコントロールを設定する。
- すべてのホストにウィルス対策ソフトとマルウェア対策ソフトをインストールし、定期的に更新する。
- 安全なネットワークのみを使用し、公共のWi-Fiネットワークの使用を避ける。VPNの導入・利用を検討する。