ランサムウェアが主に標的を定めず、場当たり的で、急速に拡散する脅威であったのは、それほど昔のことではない。2017年には WannaCry とそのサーバー・メッセージ・ブロック(SMB)ネットワークworm の脆弱性、 EternalBlueは、歴史上最も重大なランサムウェアの流行の1つを引き起こした。WannaCryはマシンスピードで世界中に拡散し、150カ国以上で23万台以上のホストに感染した。WannaCryが引き起こした被害は深刻で、特に英国の国民保健サービス(NHS)のような組織にとっては7,300万ポンド(9,500万米ドル)以上の費用が発生したが、攻撃者がビットコインで手にすることができたのは約62万1,000米ドルであり、彼らが引き起こした混乱に比べれば比較的小さな報酬に過ぎなかった。
それ以来、ランサムウェアは、しばしば「スプレー・アンド・プレ イ」と呼ばれる大量かつ無差別なアプローチから、より標的を絞った少量のビジネスモデルへと進化してきた。今日のランサムウェア攻撃は、もはや単一のモノリシックなmalware 。その代わりに、現代のランサムウェアは、熟練した犯罪者によって開発されたモジュール型、またはRansomware-as-a-Service(RaaS)プラットフォームを介して販売される傾向にある。この変化により、ランサムウェアグループは、合法的なビジネス構造に似た、コンポーネントとサービスの両方のサプライチェーンが完備された、組織化された闇のエコシステムの中で活動できるようになりました。
迅速な適応と変容が可能なため、静的なシグネチャに基づく従来の検知手法はますます非効率的になっています。その結果、セキュリティ・チームは、暗号化が始まる前に攻撃者が使用する行動や戦術を特定することに注力する必要があります。これは、次のような今日のランサムウェアグループにとって特に重要です。 ロックビットや Contiなどの今日のランサムウェア・グループは、データを暗号化するだけでなく、身代金を支払わなければ機密情報を漏えいすると脅してデータを流出させるという、二重の恐喝戦術を採用しているため、これは特に重要です。
複雑で長期化するランサムウェア攻撃の特徴
以前の攻撃とは異なり、Mazeのようなグループに代表される今日のランサムウェア・キャンペーンは、多面的で長期間にわたって展開されます。攻撃者は、暗号化が始まるずっと前に、最初の侵入、偵察、データ流出を行います。このような長期の時間枠は、防御側にとって、検知 、脅威への対応の機会を提供します。
ランサムウェア攻撃の特徴
ターゲットの選択と偵察
攻撃者は通常、オープンソースインテリジェンス(OSINT)を実施し、潜在的な被害者に関する情報を収集することから始めます。攻撃者は、標的が重要なデータなしで業務を継続する能力と、身代金を支払う可能性を評価します。攻撃者は、被害者が認識する「痛みの閾値」(不払いの結果に対処するよりも支払いを望む価格)に沿った身代金額を算出します。
初期アクセス
最初の侵害は、多くの場合、phishing キャンペーン、既知の脆弱性の悪用、またはイニシャル・アクセス・ブローカー(IAB)を通じて発生する。これらのブローカーは、ダークウェブ市場で侵害されたネットワークへのアクセスをわずか300ドルで販売することを専門としています。
内部偵察と特権のエスカレーション
ネットワークに侵入すると、攻撃者は重要なシステムを特定し、より高い権限を得ることに時間を費やします。この段階は、攻撃者が二重の恐喝のために流出させ、活用するファイルを探すために、数日から数週間続くこともあります。この内部偵察が完了して初めて、攻撃者はランサムウェアを起動し、ネットワーク全体のファイルを暗号化します。
二重の恐喝
多くの場合、攻撃者は被害者のデータを暗号化するだけでなく、機密情報も盗み出します。被害者が身代金の支払いを拒否した場合、攻撃者は盗んだデータをオンラインで流出させたり販売したりすると脅し、規制当局による罰則や風評被害、さらなる経済的損失につながる可能性がある。
身代金要求と交渉
ランサムウェアグループは詳細な身代金のメモを提供し、多くの場合、被害者をダークウェブ上でホストされている専用の交渉ポータルに誘導する。場合によっては、ランサムウェアグループは、被害者が効率的に支払いを行えるよう、カスタマーサポートまで提供している。
拡大するランサムウェアのコスト
組織がランサムウェアの攻撃を受けると、ただちに業務が麻痺する。ビジネスクリティカルなシステムは人質に取られ、インシデントレスポンス チームは攻撃の拡大を食い止め、システムを復旧させるために奔走しなければならない。組織が身代金の支払いに応じたとしても、攻撃者が有効な復号化キーを提供する保証はありません。復号化できないファイルはバックアップからリストアする必要があり、最終バックアップ以降のデータ損失やダウンタイムの長期化につながる可能性がある。
ランサムウェアの影響は、その規模とコストにおいて拡大している。今日の攻撃は、単にファイルを暗号化するだけでなく、データの盗難、業務の中断、風評被害、規制当局による罰金などを含んでいる。Coveware社の2023年のレポートによると Coveware社の2023年レポートによると、身代金の平均支払額は40万8,644ドルに達しており、ランサムウェアが組織に与える金銭的負担の増大を浮き彫りにしています。
ランサムウェア攻撃の軽減と対応
効果的なミティゲーションには、ランサムウェアの攻撃パターンを理解し、攻撃のライフサイクル中に迅速に行動する能力が必要です。早期に検知し、レスポンス 、ランサムウェア攻撃の影響を大幅に軽減することができます。
迅速な宿主分離
感染したホストが特定されたら、直ちに隔離することが重要です。これは、感染したシステムを隔離し、ネットワークから削除し、ランサムウェアの伝播に関与するプロセスを停止することで実現できます。多くの場合、オーケストレーション・プラットフォームなどの自動化ツールを使用して、迅速かつ効率的にシステムを隔離することができます。
特権アクセスの監視
ランサムウェアは、侵害されたユーザーまたはアプリケーションの権限でのみ実行できます。どのアカウントが重要なシステムにアクセスできるかを監視することで、セキュリティ・チームは検知 異常な動作を早期に発見し、ランサムウェアによるファイルの暗号化を防ぐことができます。特権アクセスに関する包括的な知識は、攻撃者がネットワークを横断して横方向に移動し、特権がエスカレートするのを防ぐのに役立ちます。
行動ベースの検出
現代のランサムウェア攻撃には、内部偵察、横移動、データ流出など、いくつかの前兆活動が関与しています。セキュリティ・チームは、特定のランサムウェアの亜種の特定だけに集中するのではなく、ネットワーク・トラフィック全体で不変の攻撃者の行動を監視する必要があります。このビヘイビアベースの検知アプローチは、よりプロアクティブであり、暗号化が始まる前の攻撃の初期段階を検知 。
人工知能(AI)とオートメーション
セキュリティ・ソリューション AI主導 セキュリティソリューションは、ランサムウェアの検知とレスポンス に変革をもたらしつつある。AIは膨大な量のネットワークデータを分析し、人間や従来のツールが見逃してしまうようなランサムウェアの動作の微妙な指標を発見することができる。SOCチームをAIで補強することで、企業は検知 、攻撃を迅速に阻止し、被害範囲を限定することができます。
ランサムウェアの脅威に対してプロアクティブであり続ける
最新のランサムウェア攻撃の影響を軽減するために、セキュリティチームはリアクティブな戦略から振る舞い 検知へとシフトする必要があります。このプロアクティブなアプローチは、攻撃ライフサイクルの早い段階で疑わしい活動を特定することに重点を置いています。従来のセキュリティ・ツールをAIが補強することで、企業はランサムウェアの挙動をリアルタイムで検知 、被害が拡大する前に攻撃を防止する上で決定的な優位性を得ることができる。
ランサムウェアは、組織の貴重なデジタル資産を搾取し、恐喝しようとするサイバー犯罪者にとって、今後も強力なツールであり続けるだろう。ランサムウェアを撃退するには、時間と状況把握が不可欠です。早期に対処することで、本格的な災害を防ぐことができます。
Vectra AIはどのように役立つか
AIプラットフォーム Vectra AIプラットフォームは、AI主導 振る舞い 分析を使用して、ランサムウェアのライフサイクルの早い段階で攻撃者の行動を検知 把握します。偵察、横の動き、暗号化活動に焦点を当てることで、Vectra 、セキュリティチームはランサムウェアが壊滅的な被害をもたらす前に阻止することができます。Vectra AIが組織のセキュリティ確保にどのように役立つかをお知りになりたいですか?リクエスト セルフガイドデモランサムウェア防御におけるAIの威力をご確認ください。