ランサムウェアの被害は取り返しがつかない?

2021年9月10日
ナギ・スリランガ
プロダクト・マーケティング・マネージャー
ランサムウェアの被害は取り返しがつかない?

企業はランサムウェアの影響を受け続けており、レスポンス 、ランサムウェア攻撃の量と複雑さから防御するために、より多くの費用、リソース、エネルギー、時間を費やしている。ランサムウェアの運営者は、ここ数ヶ月の間に急速に進化し、次のような動きを見せている。 単なる単に 暗号化ファイルやデータを暗号化するだけではなくなりました。歴史的に、組織は、ファイルやデータを暗号化することによって広範なビジネスの中断を引き起こしたランサムウェア攻撃から回復するためにデータをバックアップしてきた。しかし残念ながら、ランサムウェア攻撃者が与える被害の全容から組織が回復するためには、データをバックアップするだけではもはや不十分であり、ほとんどの場合、被害は回復不可能です。

cybercriminels 攻撃者は、侵入、ハッキング、侵害による金銭的な利益を増加させるために、高度で持続的な攻撃に従事し、ファイルを暗号化する以上の攻撃を行うためにランサムウェアを展開するようになっています。ファイルを暗号化するだけでなく、攻撃者は組織のネットワークを横断して、さまざまな企業の機密情報を見つけるために偵察を行っています。Mandiant社の最近のレポートによると、攻撃者は、解約契約書、契約書、医療記録、暗号化証明書などの機密データを探しています。攻撃者はデータを暗号化する前に、暗号化されたチャネルを使用してデータを流出させ、運用や維持が困難な境界防御を回避しています。

このようなデータ侵害は、脅威アクターにより大きな力、支配力、影響力を与え、組織を甚大なリスクと回復不可能な損害にさらす。企業は消費者の信頼、ブランドの評判、従業員の士気を失い、法的・懲罰的損害賠償や集団訴訟の責任を負うことになる。ランサムウェア攻撃はまた、運用コストや規制コストを増加させ、新しく革新的なデジタル技術の採用によって推進されるビジネスの俊敏性と競争力を劇的に鈍らせる。

攻撃者は盗まれたデータを変態的な方法で利用し、TORネットワークを利用したダークウェブ上のデータ漏えいサイトや、Facebookなどのソーシャルメディアサイトを利用して、被害者を名指しで貶める。さらに、ランサムウェアの運営者は、盗んだ顧客データや企業データのサンプルを評判の高いメディアやテクノロジー、サイバーセキュリティ関連の出版物に提供することで、広く注目を集め、要求を拡大します。  

ハッキングされたデータの漏洩を防ぐことはほぼ不可能であり、被害はほとんどの場合、不可逆的なものとなります。CrowdStrikeは、脅威アクターが他の脅威アクターによって盗まれたデータをホスティングするような戦術が進化しており、被害者が盗まれたデータの回復や公開防止のための実行可能な拘束力のある合意を仲介するのは非常に負担がかかるとアラートしています。

場合によっては、攻撃者は盗まれた資料から抽出した検索可能な個人識別情報(PII)データセットをセットアップし、定期的にデータを公開することで状況を悪化させ、メディアの注目と報道を新たにする。攻撃者は、社内の従業員に電話をかけて嫌がらせをしたり、ビジネス・パートナーに通知して情報漏えいの詳細を開示するよう組織に圧力をかけたりします。このような強圧的な手口は、従業員の精神に影響を与え、ビジネス関係において不信感を抱かせます。

では、ランサムウェアの被害を防ぐことはできるのだろうか?

ランサムウェアサイバー犯罪は革新と進化を続けている。ランサムウェアは、組織のネットワークを自由に移動し、数カ月/数日にわたって環境を偵察し、暗号化を使用して検出を回避することで、最初の侵入後にデータを流出させながら、さまざまな機密情報を収集することができます。MandiantのM-TRENDS 2021レポートによると、新たに追跡されたマルウェアファミリの81%は、一般に入手可能なツールやコードを使用していませんでした。このことは、今日のランサムウェア攻撃に対する防御において、シグネチャベースの予防対策が極めて不十分であり、効果がないことを強く示唆している。予防ツールを突破された後、攻撃はどのように阻止されるのだろうか。

2020年にMandiantが調査した侵入の半数以上において、敵は暗号化やエンコードなどの難読化を用いて検知を困難にしていた。従来のセキュリティツールは可視性が限られており、信頼できるサービス、ユーザー、アプリケーションの事前定義リストに依存しているため、これらの信頼できるサービスが正常に動作しているかどうかを継続的に検証することができません。攻撃者は、最初の侵害をはるかに超える複数の段階で攻撃を実行することを認識することが重要です。これには、永続化、特権の昇格、内部偵察と発見、横移動、クレデンシャル・アクセス、コマンド&コントロール、防御回避、流出などが含まれる。Mandiantの専門家は、2020年以降のすべての脅威調査の中で、攻撃者がMITRE ATT&CKのテクニックの63%を使用していることを確認しています。

従来の防御ツールは、攻撃の初期アクセスや流出段階において、限られたセキュリティしかカバーできず、これらのツールの運用と保守には継続的な手作業が必要である。さらに、これらのツールは手作業であり、エージェントベースであり、ビジネスの中断を引き起こすことで悪名高く、セキュリティの有効性をさらに制限している。  

組織は、デジタルアタックサーフェスの複雑さ、ランサムウェアの運用者の巧妙さ、従来のセキュリティツールの限界、サイバーセキュリティの専門家の慢性的な不足に対処する必要がある。

Vectra Cognito Platformがランサムウェアを阻止

VectraのAI主導 &高性能サイバーセキュリティ・ソリューションは、ランサムウェアが企業や顧客に取り返しのつかない永久的な損害を与える前に、検知 、阻止するために組織で使用されています。

Vectra を使えば、ランサムウェアがファイルを暗号化したりデータを流出させたりする前に、ランサムウェアを阻止することができます。エージェントレスでAI主導のCognitoプラットフォームは、時間的、ネットワーク的、アカウント&ホスト的に分散した低忠実度の検知を継続的かつ自動的につなぎ合わせ、SOCチームが高度なランサムウェア攻撃を阻止できるようにします。

次の動画では、Vectra Cognito Platform がランサムウェア攻撃の全フェーズを継続的に監視し、ランサムウェア攻撃がファイルを暗号化しデータを流出させる前に阻止する方法を紹介します。Cognitoプラットフォームは、企業ネットワーク全体にわたって、リスクのあるアカウントとホストを自動的に検知し、クラウド、暗号化されたHTTPSトンネルを介したコマンド&コントロール通信、ネットワークをマッピングするためのLDAPとRPCコール、特権アカウントの偵察、フラットなネットワークを横方向に移動するためのRPCコールを含む攻撃者の振る舞いを追跡します。

Vectra Cognitoプラットフォームは、オンプレミスからクラウド、ハイブリッドからマルチクラウド、オフィスからリモートワーカー、IaaSからSaaS、IoTからOTまで、組織のデジタルネットワーク全体に包括的な可視性を提供し、攻撃ライフサイクルの複数のフェーズにわたって脅威、ランサムウェア、攻撃者を継続的かつ自動的に監視します。Vectra Cognitoは、業界をリードするAI主導 、常時オンでインテリジェントなエージェントレス・ソリューションであり、今日のランサムウェア攻撃の量と巧妙さを検知し、阻止する独自の能力を備えています。

今すぐランサムウェアを阻止する方法をご覧ください!

よくあるご質問(FAQ)