攻撃テクニック
ランサムウェア
ランサムウェアは進化しており、脅威の検出とレスポンス 戦略も進化しています。
定義
ランサムウェアとは何か?
ランサムウェアは、デバイス上のファイルを暗号化し、ユーザーが自分のデータやシステムから事実上締め出されるように設計された悪意のあるソフトウェアの一種です。攻撃者はその後、ファイルへのアクセスを回復するための復号鍵と引き換えに、通常暗号通貨による身代金の支払いを被害者に要求します。
仕組み
ランサムウェアの仕組み
ランサムウェアは通常、phishing の電子メール、悪意のあるダウンロード、または脆弱性を利用したエクスプロイト・キットを通じてシステムに侵入する。内部に侵入すると、主に次のような手順を踏む:
- 侵入と実行:ランサムウェアはデバイスにインストールされ、実行を開始します。
- データの暗号化文書、画像、データベースなどの貴重なファイルをスキャンし、強力な暗号化アルゴリズムを使用して暗号化し、ファイルにアクセスできないようにします。
- 身代金の要求:ランサムウェアは、ユーザーに攻撃を知らせるメッセージを表示し、身代金を支払って復号化キーを取得するための指示を提供します。
- 伝播(オプション):一部のランサムウェアの亜種は、他の接続されたシステムに拡散し、被害者のネットワークをさらにロックしようとします。
攻撃者がそれを使う理由
攻撃者はなぜランサムウェアのテクニックを使うのか?
攻撃者がランサムウェアのテクニックを使うのは、主に被害者を恐喝して収益を得るためだ。以下はその主な動機である:
- 金銭的利益:身代金の支払いは、追跡不可能な暗号通貨で行われることが多く、特にダウンタイムを延長する余裕のない組織をターゲットにする場合、迅速かつ潜在的に大きなリターンをもたらします。
- 混乱とプレッシャーランサムウェアは、特にデータへの常時アクセスに依存する業界(医療、金融など)において、即座に深刻な業務妨害を引き起こす。このプレッシャーは、被害者に迅速な支払いを強要する可能性があります。
- データ窃盗と二重の恐喝:ランサムウェア攻撃者の中には、暗号化する前にデータを盗み出し、身代金を支払わなければデータを公開すると脅す者もいる。この「二重の恐喝」戦術は、被害者への圧力を著しく増大させます。
- アクセシビリティと自動化:Ransomware-as-a-Service(RaaS)により、スキルの低い攻撃者でも事前に構築されたキットを通じてランサムウェアを展開できるため、サイバー犯罪者にとってアクセスしやすく拡張性の高い手法となっている。
- 低リスク:サイバー犯罪者は、犯罪人引き渡し法が限定的な国から匿名で活動できるため、リスクは限定的である。
このような動機から、攻撃者はランサムウェアを、ターゲットに最大限の影響を与えながら金銭的な利益を得る効率的な方法として利用する。
プラットフォーム検出
ランサムウェアの検知は?
Vectra AIは、ランサムウェアの典型的な挙動である異常なファイルアクセスと変更パターンを識別することで、ランサムウェアを検出します。その方法を紹介しよう:
- 振る舞い 分析:Vectra AIがファイルのアクティビティを継続的に監視し、ファイルへの迅速なアクセス、暗号化の試み、ランサムウェアと一致する変更を検出します。
- 特権の異常:ランサムウェアは多くの場合、特権をエスカレートさせて重要なファイルにアクセスしたり、暗号化したりします。Vectra AIは、特権アカウントや重要なファイルシステムへの異常なアクセスにフラグを立てます。
- ラテラルムーブの検知:Vectra AIは、ランサムウェアがネットワーク全体に拡散しようとする不審なラテラルムーブを特定し、セキュリティチームに警告を発して、影響を受けたシステムを隔離します。
Vectra AIは、高度な検出機能(AI主導 )を通じて、攻撃チェーンの初期段階でランサムウェアの活動を検出するため、SOCチームは迅速に対応し、データの暗号化や被害の拡大を防ぐことができます。
