ランサムウェア:脅威はなぜ衰えないのか?

security training / consulting

Security News, 企業

ランサムウェア:脅威はなぜ衰えないのか?

ランサムウェアは長い間サイバーセキュリティの問題の1つでしたが、今では、主流だと言っても過言ではありません。


マルウェア、ランサムウェア、ハッキングギャングなどのセキュリティの脅威は常に進化しています。

この特別レポートでは、次に焦点を当てる必要があることについて説明します。

Colonial Pipeline(コロニアルパイプライン)、アイルランドのヘルスケアエグゼクティブ、その他多くの攻撃のような主要なランサムウェア攻撃は、サイバー攻撃が人々の生活を混乱させたため、問題がどれほど重大になったかを示しました。

かつてはパーソナルコンピュータ上のファイルの暗号化に基づいており、復号化キーに数百ドルの身代金を要求する小さなサイバー犯罪業界は、重要なサービスとインフラストラクチャを身代金に保持することを中心に設計された大規模なエコシステムに進化し、数百万ドルの恐喝を要求しています。

英国の国家サイバーセキュリティセンター(NCSC)の責任者であるLindy Cameron氏が、ランサムウェアを「世界最大のサイバー脅威」と表現しているのも不思議ではありません。

ランサムウェアは絶えず進化しており、新しい亜種が出現し、新しいランサムウェアグループが出現し、攻撃から最大の利益を得るように設計された新しい技術と戦術があります。

そして、最近のContiランサムウェアのリークが示したように、最も成功したランサムウェアギャングは、一般のソフトウェア開発者のグループと同じように編成されています。

「彼らは本当にビジネスをしているかのようです。合法的に登録されていないという事実を除けば、彼らは本当にビジネスそのものです。彼らは実際のビジネスのように機能しており、時にはこれらの組織内の人々の数は一部のスタートアップよりも多いです」とWithSecureのCTOであるChristine Bejerasco氏は言います。

「彼らは、新しいものに適応する際に多くの回復力と敏捷性を示しました」と彼女は付け加えます。

この回復力と適応能力が、世界中で一連のランサムウェア攻撃を引き起こし、サイバー犯罪者は、数百万ドルを稼いで去っていきました。

そして、現在でている被害のニュースは、表面に出ているものだけであって、多くは報告されないものもあります。

「主な課題は、ほとんどの企業がインシデントを開示していないため、トレンドが実際に何であるかがわからないことです」と、Emsisoftの脅威アナリストであるBrettCallow氏は述べています。

「測定しないものを管理することはできません。」

小規模な被害者に対するランサムウェア攻撃は報告されていません。

大規模な組織に対するランサムウェア攻撃は注目されますが、被害者が他に選択肢がないかのように感じて、すぐに身代金を支払う中小企業のケースや地元企業に対するランサムウェア攻撃などは、まったく報告されない可能性があります。

小さなターゲットに対する個々の攻撃は、大企業に対する攻撃の成功のように大きな報酬をもたらすことはありませんが、一連の小さな犠牲者に対する一連の攻撃を連鎖させることにより、ランサムウェアの攻撃者は依然として大きな利益を上げることができます。

中小企業は、大企業ほどサイバーセキュリティに投資する可能性は低いため、ネットワーク内への侵入が容易になる可能性があります。

つまり、ランサムウェアグループは短期間で複数のターゲットに到達する可能性があります。

これは、中小企業をターゲットにして利益をあげるのに重要な要素です。

「彼らは明らかに、大企業から得られるような多額の支払いを受け取ることはないでしょう。しかし、最初の浸透から恐喝の成功まで、はるかに迅速に進む必要があります」と、中小企業を追いかけること利点をCallow氏は述べています。

また、サイバー犯罪者に別の利点もあります。

「中小企業への攻撃は同じレベルの注目を集めることはできないかもしれません。地元の食料品店を標的にすることは、米国サイバー軍に追跡されるリスクがいくらか少ないことを意味するかもしれません」と彼は言います。

コロニアルパイプライン攻撃の後、米国司法省は、行われた数百万ドルの身代金の支払いの大部分を管理し、押収し、返還しました。

この事例は、ランサムウェア攻撃に関与した者が、追跡または逮捕されることはまだ稀とはいえ、ランサムウェアギャングの攻撃方法に対する見通しを変えた可能性があります。

「その出来事以来、脅威アクターは、世界に対する理解を少し変えました。それまでは実際には見たことのない結果が見られました」と脅威調査のシニアディレクターであるSherrodDeGrippo氏は述べています。

「それ以来、他の大規模なランサムウェアイベントを目にしましたが、過去に見られたように、どこでも無差別に槌を打つことはありませんでした」と彼女は付け加えます。

ギャングは依然としてランサムウェア攻撃の新しい基盤を築いている可能性があります。

または、DeGrippo氏が示唆しているように、一部のハッキンググループは、ノイズは少ないが収益性の高い他のサイバー攻撃に注意を向けている可能性があります。

「初期アクセスが大規模に活用されるので、ランサムウェアの最終段階のペイロードである可能性があります。おそらく他の何かである可能性があります。バンキング型トロイの木馬に大きな利益が見られる可能性があります」と彼女は言います。

レーダーの下では、はるかに静かで、それでもかなりの報酬を提供しつつ、法執行機関の注意を引くことはありません。

トロイの木馬マルウェアは、サイバー犯罪者が銀行口座の詳細などの機密情報を被害者から盗むことを可能にし、被害者から直接お金を盗む機会を提供します。

暗号通貨は不安定です。

したがって、ビットコインで行われた身代金の支払いが保管されていると、攻撃者が現金化することを選択するまでに、価値が大幅に低下する可能性があります。

サイバー犯罪者にとっては、マルウェアを使用して現金を再び盗むことに注意を向けたくなるかもしれません。

「今日、100万ドル相当のビットコインを手に入れることができるか、銀行のトロイの木馬から100万ドルの現金を手に入れることができる選択肢があった場合、今すぐ現金を受け取るだろう。」とDeGrippo氏は言う。

クラウドコンピューティングは今やビジネスに不可欠ですが、データとアプリケーションを安全に保つことも不可欠です。

しかし、それはランサムウェアがすぐになくなるという意味ではありません。

一部の人は他の場所に目を向けるかもしれませんが、ランサムウェア攻撃は依然として不法に金儲けをするための儲かる手段であり、ランサムウェア攻撃は進化し続けています。

たとえば、ランサムウェアグループは現在、攻撃のエントリポイントとしてクラウドアプリケーションを定期的に標的にしています。

最も洗練された、リソースの豊富なランサムウェアギャングの一部が、1つの企業だけでなく、数千の企業に影響を与える攻撃のため、クラウドサービスプロバイダーをターゲットにすることは、避けられないようです。

このアプローチは、攻撃者がターゲットに多額の身代金要求を要求するための多くのレバレッジを作成します。

これは、広範囲にわたる混乱のためにすぐに支払われる可能性があります。

「ランサムウェアの攻撃者がその方向に向かい、クラウド内のデータを効果的に暗号化し、身代金を要求する場合、サービス内のすべての顧客データが暗号化されたと想像できますか?そういったものがあれば、組織を屈服させるのに十分だろう」とWithSecureのBejerasco氏は述べています。

ランサムウェアはサイバーセキュリティの主要な脅威ですが、被害者にならないようにするために、あらゆる規模の組織が実行できる手順があります。

ほとんどの場合、ランサムウェアギャングは特定のターゲットを追跡することを望んでおらず、セキュリティの脆弱性を見つけられる場所で悪用するだけです。

そのため、セキュリティアップデートとソフトウェアパッチをできるだけ早く適用することが重要です。

特に重大な脆弱性がある場合は、サイバー犯罪者がそれらを悪用してネットワークにアクセスしたり、ネットワークの永続性を維持したりするのを防ぐことができます。

ネットワーク全体にセキュリティ更新プログラムを適用することは困難な場合がありますが、サイバー攻撃からビジネスを安全に保つためにIT部門が実行できる最も重要なことの1つです。

多要素認証(MFA)は、ランサムウェアやその他のサイバー攻撃に対する重要な防御にもなります。

多くのランサムウェアキャンペーンは、サイバー犯罪者がユーザー名とパスワードを盗み、それらを悪用してネットワーク内を移動することから始まります。

MFAをユーザーに公開すると、サイバー犯罪者が盗んだパスワードを使用することが難しくなります。

予期しないログイン通知は、何かが間違っていて調査が必要であることを示している可能性があります。

また、従業員が簡単に推測できない、またはブルートフォース攻撃で解読できない一意の複雑なパスワードを使用していることを確認して、不正な侵入に対してネットワークを可能な限り堅牢にすることも役立ちます。

また、ランサムウェアはデータの暗号化に基づいているため、組織が定期的にデータをバックアップし、オフラインでバックアップすることが重要です。

次に、最悪の事態が発生し、ネットワークがランサムウェアに見舞われた場合、サイバー犯罪者に身代金を支払うことなくデータを復元することができたとしても、二重恐喝攻撃の脅威があります。

それは、身代金が支払われなかったために、盗まれたデータが引き続き公開される可能性があることを意味します。

法執行機関と政府当局者は、企業が身代金を要求に応じることを強く思いとどまらせています。

それはさらなるランサムウェア攻撃を助長するだけでなく、あなたが誰に支払っているお金が悪意ある組織の資金になるのです。

しかし、DeGrippo氏によると、被害者が身代金を支払うことを決定したかどうかにかかわらず、何をすべきかについて事前に計画を立てることが重要です。

事前に戦略を立てておく方が、後にパニックに陥るよりもはるかに好ましいからです。

「各組織は、ランサムウェアイベントが発生する前に、ランサムウェアイベントをどのように処理するかを決定する必要があります。そうです、これには、支払うかどうかにかかわらず、処理にも費用が含まれます。」と彼女は言います。

「これらは楽しい議論ではありません。しかし、ランサムウェアのイベントが行われている間、彼らは信じられないほど壊滅的で苦痛を感じます。」

セキュリティトレーニングは、こちら

セキュリティコンサルティングは、こちら

  • 投稿者:
  • 投稿日: 2022年7月6日
0

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です

CAPTCHA


© 2024年 セキュリティトレーニング/コンサルティング. Built using WordPress and EmpowerWP Theme.