ランサムウェアの新しい亜種や被害者が毎日ニュースになっているようだ。ランサムウェアがニュースになるのは、それが非常にうまく機能し、広範囲に破壊を引き起こすからだ。
そのため、広く知られているランサムウェア「Petya」の亜種である「PetrWrap」に関するニュースが最近相次いだとき、その重要性を見落とすのは簡単だった。誉れなき怪盗団」という物語が、その真の重要性を覆い隠してしまったのだ。
今や大きなビジネスとなったランサムウェアは、2016年に10億ドル以上の被害を出したと推定されている。ビジネスモデルの革新が成長の原動力となり、重要な患者データやITへの依存度が最も高い病院をターゲットにしたこともその一例である。
配信キャンペーンは標的を絞ったものだったが、これまでのランサムウェア攻撃は基本的に同じ動作をしていた:
- 彼らは自動化され、日和見主義的だった。
- フィッシング・キャンペーンやエクスプロイト・キット配布の手法で配信され、瞬く間に拡散した。
- データであれブートレコードであれ、彼らは無差別に暗号化した。重要なデータが暗号化されることもあれば、価値のないデータが暗号化されることもあった。
しかし本当のニュースは、PetrWrapは自動化されていないということだ。ランサムウェアは歴史的に、攻撃者に高度なスキルを要求することなく、日和見的な攻撃キャンペーンで大規模な成功を収めてきた。
その代わりに、PetrWrapは標的型攻撃キャンペーンで使用され、熟練したアクターによって運用されています。高度な攻撃者がネットワーク内をこっそりと移動し、最も重要な資産 (システムやデータ) だけを人質に見つけることを想像してみてほしい。そのようなレベルのビジネスの混乱を避けるために、あなたはいくら払いますか?
だからこそPetrWrapが重要なのだ。システムやデータを人質に取る核となるツールは同じだ。しかし、アプリケーションとビジネスモデルは全く異なる。
PetrWrapは、より高度なアクターが恐喝ゲームに参入していることを示すものであり、ランサムウェアのビジネスモデルにおける新たな危険な革新を予感させる。もはや企業秘密や重要な顧客データが盗まれるだけではない。ITインフラやビジネスの運営能力を麻痺させるものなのだ。
攻撃者の侵入を100%阻止する方法が判明しない限り、攻撃者が損害を与える前に内部ネットワークの挙動を検知する方法を、もっともっと改善しなければならない。
すべての企業は、炭鉱のカナリアと呼ばれる偽の株式や優れたバックアップなど、ランサムウェアのリスクを軽減する戦略を持つべきです。そして、人質に取られる前に、重要な資産を探し回っている間に隠れた攻撃者を見つけ出すセキュリティソリューションを持つことが、今、さらに重要になっている。
Vectra は、ネットワーク内部でのランサムウェア攻撃の動作を検知し、企業データやブートレコードの暗号化に先立つ、コマンド&コントロールトラフィック、ネットワークスキャン、追加マルウェアの拡散などの悪質なアクションを明らかにすることで、セキュリティチームに複数の早期警告の機会を提供します。
詳しくは、このホワイトペーパーをご覧いただき、ランサムウェア攻撃に対する効果的な管理戦略を構築する方法をご確認ください。