ランサムウェアが標的を定めず、日和見的で、冗長で、迅速な攻撃であったのは、それほど昔のことではない。2017年のWannaCryとそのサーバーメッセージブロック(SMB)ネットワークワームの脆弱性EternalBlueは、その複数の亜種をマシンスピードで世界中のネットワークに拡散させ、150以上の国の23万以上のホストに影響を与えた。WannaCryによる被害は甚大であったが、調査によると、英国の国民保健サービスは73ポンド(9,500万米ドル)以上の費用を負担した一方で、ランサムウェアの運営者は比較的少ないビットコイン(現在約621万米ドルの価値)を手にしただけであった。
より最近では、犯罪者が大量で日和見的なアプローチ、つまり「スプレー・アンド・プレイ(スプレーして祈る)」から、より少量で標的を絞ったランサムウェア攻撃へと移行しているのが見て取れる。今日のランサムウェアは、モノリシックなランサムウェア、つまり、すべてを実行し、高度に自動化された単一のソフトウェアではなく、モジュール化され、多くの場合、悪意のある開発者から入手したり、「サービスとして」入手したりする傾向がある。
ランサムウェアには、コンポーネントやサービスのサプライチェーンを持つ組織的なダーク・エコシステムが存在し、これは合法的な世界で見られる構造や慣行とは似て非なるものだ。ランサムウェアは素早く変化し、変容するため、シグネチャのための従来のフィンガープリンティングはあまり効果的ではありません。ランサムウェアの検知とレスポンス の多くは、実際のクリプトロッキングコードとそのアクションの特定と軽減に焦点を当ててきた。
Maze グループのような今日のランサムウェア攻撃は、多面的で複雑であり、長期間にわたって展開される。初期侵入、データ偵察、および流出はすべて、クリプトロッキングが始まる前に発生します。このような長い時間枠は、検知 、脅威への対応の機会を何度も提供します。
ランサムウェア攻撃の特徴
サイバー犯罪者は、まずオープンソースの情報収集と潜在的ターゲットの分析から始める。侵入と身代金奪取に成功した場合、ターゲットの事業継続能力、および受け入れる可能性の高い傾向を評価する。そして、攻撃者は、支払いが行われることになる痛みの閾値となる価格を見積もる。ターゲットへの最初の侵害と侵入は、アウトソーシングされることもあれば、ダークウェブでわずか300ドルから「既製品」として購入されることもある。
最初の感染からランサムウェアの展開に至るまで、攻撃者は侵害されたネットワーク内部で偵察を行い、ファイルを盗んで暗号化する前に、どのシステムが重要であるかを発見する。
組織がランサムウェアの被害に遭うと、攻撃の進行を効果的に食い止め、直ちにシステムを復旧させなければならないが、その一方で業務機能はすべて人質に取られている。組織が身代金の支払いに応じたとしても、攻撃者から暗号化キーが提供される保証はない。暗号化キーがなければ、ファイルはバックアップから復元しなければならず、最後のバックアップ以降の変更は失われる。
そのため、ランサムウェアがファイル共有を暗号化した場合、攻撃はその結果生じる規模、運用のダウンタイム、データの損失により、非常に大きなコストとなる。
攻撃の緩和と対応
攻撃のライフサイクルにおける早期の発見と隔離はデータの損失を防ぐ。感染したデバイスが特定されたら、迅速にホストを隔離することが重要です。ホストの隔離は、ホストの隔離、ネットワークからの問題のあるシステムの削除、伝播の原因となっているプロセスの強制終了によって行うことができます。
ランサムウェア攻撃のスピードと深刻さのため、隔離にはオーケストレーション・プラットフォームのような自動化、あるいは検知ツールによるホストやネットワーク強制ポイントとのネイティブな統合が必要になる可能性がある。
また、どのアカウントが重要なシステムにアクセスできるかを知るために、特権アクセスを観察することも不可欠である。ランサムウェアは、起動元のユーザまたはアプリケーションの権限でのみ実行できます。特定のサービスにアクセスできるシステムとユーザーに関する包括的な知識により、セキュリティ・オペレーション・チームは特権アクセスの悪用を監視し、ネットワーク・ファイルの暗号化が発生する前に、そのアクセスが侵害された場合に対応することができます。
検知を向上させるもう1つの戦略は、不変の攻撃者の行動について内部トラフィックを監視することに重点を置くことです。ネットワークフローや実行ファイルから特定のランサムウェアの亜種を検知しようとするのではなく、偵察、 横の動き、ファイルの暗号化に焦点を当てることで、脅威を発見する際に、よりプロアクティブなアプローチが可能になります。このアプローチは、攻撃の最初の侵入と偵察の段階で前兆活動を発見するのに特に効果的です。
警戒を怠らず、積極的な戦略を採用する
現代のランサムウェア攻撃の影響を軽減するためには、使用された特定のツールやランサムウェアを検知するのではなく、挙動を検知することに基づいたモデルに軸足を移す必要がある。このような振る舞いの検知ははるかに効果的であり、ネットワーク・トラフィックを詳細に分析する必要がある。人工知能(AI)の進歩によってセキュリティチームが増強され、攻撃者の行動をリアルタイムで特定する方向に業界がシフトしていることがすでに確認されている。AIは、人間や従来のシグネチャベースのツールでは到底達成できないスピードと規模で、ランサムウェアの振る舞いの微妙な指標を検知することができます。これにより、企業は広範な被害を防ぐことができる。
組織が攻撃のライフサイクルの早い段階でこうした悪意のある行動を認識すれば、ランサムウェアによって暗号化されるファイルの数を制限し、攻撃の伝播を阻止し、悲惨なビジネスの停止を防ぐことができます。
ランサムウェアは、組織の貴重なデジタル資産を悪用し、強要し、利用しようとするサイバー犯罪者の武器庫において、今後も強力なツールであり続けるだろう。ランサムウェア攻撃と戦うとき、時間と状況把握は最も貴重なリソースです。
Vectra の Cognito Platform がどのようにお役に立てるかについては、デモをリクエストし、ランサムウェアに関するスポットライト・レポートをお読みください。