感染経路と拡散手法
ランサムウェアは、重要なコンピュータ・ファイルや機密データを暗号化して身代金を得るために使用されるマルウェアの一種です。ランサムウェアのマルウェアが組織のネットワーク上のデバイスにダウンロードされ、インストールされると、感染が発生します。
ランサムウェアは、さまざまな方法でターゲット・システムにアクセスできます。2023 年には、技術の進歩が急増しました。人工知能とランサムウェア・アズ・ア・サービス・プラットフォームは、ハッカーによるランサムウェア攻撃の実行能力を合理化しました。ソーシャル・エンジニアリング、国家支援、インサイダー攻撃が増加していますが、システムの衛生状態やフィッシング・メールが依然として最も一般的な攻撃ベクトルです。
フィッシング・メールには、通常、侵害された Web サイトへのリンクや、マルウェアが埋め込まれた添付ファイルが含まれています。ユーザーがリンクや添付ファイルをクリックすると、マルウェアがダウンロードされ、コンピュータ・システムで実行されます。
ランサムウェアの一般的な脆弱性を引き起こす 5 つの分野をご紹介します。
リモート・デスクトップ・プロトコル(RDP)は、ランサムウェアの一般的な攻撃経路の 1 つです。RDP は容易に使用でき、正規の認証情報にアクセスできれば、攻撃者に高レベルのアクセスを与えることができるからです。攻撃者は、ブルートフォース攻撃、クレデンシャル・スタッフィング、ダークウェブでの購入など、さまざまな手法を使用できます。
ダークウェブで購入した RDP アクセスの侵害は、デフォルトのポートをスキャンするスクリプトを作成するだけで RDP 接続を悪用できます。多くの場合、ハッカーはセキュリティの専門家と同じツールにアクセスでき、1 分以内にインターネット全体のオープンポートをスキャンできます。
このオンデマンドの Web セミナーでは、元ハッカーの Hector“Sabu”Monsegur 氏が、現在のサイバーセキュリティの状況と課題について、ピュア・ストレージの Andrew Miller と議論します。
暗号化
ランサムウェアがターゲット・システムにインストールされると、待機状態になり、静かにデータを収集し、できるだけ多くのシステムに感染します。その後、会社の最も価値が高く機密性の高いデータを使用して、システム・ファイルを盗んだり暗号化したりします。ランサムウェアは多くの場合、攻撃の一環としてバックアップを破壊したり、データを盗んだりすることがあるため、バックアップが安全で不変であることが重要となります。
ランサムウェアの種類と亜種について詳しく見ていきましょう。
暗号ランサムウェアはファイルを暗号化し、コンテンツをスクランブルして読み取り不能にします。ファイルを読み取り可能な形式にリストアするには、復号化キーが必要です。サイバー犯罪者は身代金要求を発行し、要求が満たされるとデータの復号化や復号化キーの解放を約束します。
ロッカー・ランサムウェアはファイルを暗号化するのではなく、システムやデバイスから被害者を完全にロックします。サイバー犯罪者は、デバイスのロックを解除するために身代金を要求します。一般的に、適切なバックアップが利用できる場合は、仮想通貨攻撃から復旧したり、攻撃を回避したりすることができます。しかし、ロッカー・ランサムウェア攻撃は、復旧が難しく、高価です。バックアップされたデータがあっても、デバイスを完全に交換する必要があります。
ランサムウェア攻撃の基本的な目的は、金銭を強要することですが、組織は、特に適切なバックアップとリカバリ・システムが整っている場合、支払いを拒否することができます。このため、攻撃者は二重恐喝を使用し、データを暗号化すると同時に抽出します。会社が支払いを拒否した場合、ハッカーは情報をオンラインで漏えいしたり、最高入札者に販売したりする恐れがあります。
さらに悪化することもあります。セキュリティの専門家は、二重恐喝ランサムウェアの攻撃が大打撃となるように、三重恐喝ランサムウェアの脅威を警告しています。攻撃者は、データを抽出し、最初のターゲットから身代金を要求するだけでなく、影響を受けた第三者に金銭を要求します。
また、RaaS(ランサムウェア・アズ・ア・サービス)は、標準的な SaaS(ソフトウェア・アズ・ア・サービス)モデルを使用しています。サブスクリプション・ベースのサービスです。事前に開発されたランサムウェア・ツールにアクセスして、ランサムウェア攻撃を仕掛けることができます。加入者はアフィリエイトと呼ばれ、各身代金のパーセンテージを取得します。
身代金に関する注意事項と要求
ランサムウェアがターゲット・ネットワークに無事に展開されると、ランサムウェア攻撃に対する要求が発生します。ハッカーは、攻撃が発生したことを被害者に警告し、攻撃を逆転させるために必要な身代金について詳しく説明します。身代金の要求は、コンピュータ画面に表示されるか、暗号化されたファイルを含むディレクトリ内のメモに残されます。
身代金の要求には通常、身代金の金額、必要な支払い方法、支払い期限などの詳細と、身代金が支払われたら暗号化されたファイルへのアクセスを戻すという約束が含まれています。データの流出が発生した場合、ハッカーは、追加データを公開しないこと、データが破壊されたことを示す証拠を示すことに同意する場合もあります。支払いは通常、暗号通貨(Bitcoin や Monero など)で要求されます。
しかし、身代金が支払われたとしても、攻撃者がデータをリストアしたり、約束を守る保証はありません。盗難データのコピーは、後日使用するために保管することができます。復号化キーが完全に機能せず、一部のデータが暗号化されたり、攻撃者が将来使用できる追加の未検出のマルウェアが含まれている場合があります。
交渉:支払いの有無
身代金の支払いの有無の決定は複雑で、いくつかの要因によって異なります。
- 侵害が事業運営に与える影響は、どの程度重要ですか?
- 従業員は失業しますか? その人数と期間は?
- データ漏えいのリスクはどの程度ですか?
支払う場合と支払わない場合の長所と短所について詳しくは、ブログ記事「ランサムウェアに感染したら? 次に何をすべきか」をご覧ください。
バックアップ/リカバリ・システムがランサムウェアの影響を受けていない場合は、(影響を受けるランサムウェアの種類に応じて)ランサムウェアへの支払いを完全に回避できる場合があります。しかし、身代金の支払いが唯一の選択肢である場合は、交渉を支援し、支払いを容易にするために経験豊富なインシデント対応チームを採用することをお勧めします。
余波:リストアとリカバリ
ランサムウェア攻撃後の平均ダウンタイムは、24 日です。身代金を支払うと、復号化キーを受信して暗号化を破棄するのにさらに数日かかる場合があります。
ランサムウェアの亜種の中には、侵害されたネットワーク上のバックアップを特定して破壊するものがあります。バックアップを破棄または暗号化した場合、リカバリ・プロセスがより複雑になる可能性があります。しかし、バックアップが使用可能な場合でも、バックアップとリカバリ・システムの種類によっては、リカバリのプロセスが長くなる場合があります。
身代金を支払う場合でも、自分でデータをリカバリしようとする場合でも、リカバリ・プロセス全体で数日かかることを計画してください。また、身代金の支払い、インシデント対応コスト、ダウンタイムによる収益損失など、ある程度の経済的損失に備えます。
リカバリ能力が異なる 2 つの仮想組織でリカバリ・プロセスがどのように異なるかを、「2 つのランサムウェア攻撃の物語:あなたの会社はどちらですか?」で確認してください。
攻撃に対応する準備を整える
ランサムウェア攻撃は、備えを怠ることのできないリスクです。セキュリティを維持するためには万全の対策を講じていると考えるかもしれませんが、従来のバックアップ・アーキテクチャでは、最新の攻撃から身を守ることはできません。
攻撃に対処する最善の方法 ペタバイトのリカバリ性能を大規模に提供するピュア・ストレージの SafeMode スナップショットや FlashBlade//S with Rapid Restore などのモダンなソリューションのみが、セキュリティ戦略を次のレベルに引き上げることができます。
