攻撃テクニック
ランサムウェア
ランサムウェアは進化しており、脅威の検出とレスポンス 戦略も進化しています。
定義
ランサムウェアとは何か?
ランサムウェアは、デバイス上のファイルを暗号化し、ユーザーが自分のデータやシステムから事実上締め出されるように設計された悪意のあるソフトウェアの一種です。攻撃者はその後、ファイルへのアクセスを回復するための復号鍵と引き換えに、通常暗号通貨による身代金の支払いを被害者に要求します。
仕組み
ランサムウェアの仕組み
ランサムウェアは通常、次のような経路でシステムに侵入します。フィッシング 電子メール、悪意のあるダウンロード、または脆弱性を利用するエクスプロイト・キットを介してシステムに侵入します。内部に侵入すると、主に次のような手順を踏む。
- 侵入と実行:ランサムウェアはデバイスにインストールされ、実行を開始します。
- データの暗号化文書、画像、データベースなどの貴重なファイルをスキャンし、強力な暗号化アルゴリズムを使用して暗号化し、ファイルにアクセスできないようにします。
- 身代金の要求:ランサムウェアは、ユーザーに攻撃を知らせるメッセージを表示し、身代金を支払って復号化キーを取得するための指示を提供します。
- 伝播(オプション):一部のランサムウェアの亜種は、他の接続されたシステムに拡散し、被害者のネットワークをさらにロックしようとします。
攻撃者がそれを使う理由
攻撃者はなぜランサムウェアのテクニックを使うのか?
攻撃者がランサムウェアのテクニックを使うのは、主に被害者を恐喝して収益を得るためだ。以下はその主な動機である:
- 金銭的利益:身代金の支払いは、追跡不可能な暗号通貨で行われることが多く、特にダウンタイムを延長する余裕のない組織をターゲットにする場合、迅速かつ潜在的に大きなリターンをもたらします。
- 混乱とプレッシャーランサムウェアは、特にデータへの常時アクセスに依存する業界(医療、金融など)において、即座に深刻な業務妨害を引き起こす。このプレッシャーは、被害者に迅速な支払いを強要する可能性があります。
- データ窃盗と 二重の恐喝:ランサムウェア攻撃者の中には、暗号化する前にデータを盗み出し、身代金を支払わなければデータを公開すると脅す者もいる。この "二重の恐喝"戦術は、被害者への圧力を著しく増大させます。
- アクセシビリティと自動化:Ransomware-as-a-Service(RaaS)により、スキルの低い攻撃者でも事前に構築されたキットを通じてランサムウェアを展開できるため、サイバー犯罪者にとってアクセスしやすく拡張性の高い手法となっている。
- 低リスク:サイバー犯罪者は、犯罪人引き渡し法が限定的な国から匿名で活動できるため、リスクは限定的である。
このような動機から、攻撃者はランサムウェアを、ターゲットに最大限の影響を与えながら金銭的な利益を得る効率的な方法として利用する。
プラットフォーム検知
ランサムウェアの検知は?
Vectra AIは、ランサムウェアの典型的な動作である異常なファイルアクセスと変更パターンを識別することで、ランサムウェアを検知します。その仕組みは以下のとおりです。
- 振る舞い分析: Vectra AI はファイルアクティビティを継続的に監視し、急速なファイルアクセス、暗号化の試み、ランサムウェアに一致する変更を検知します。
- 権限の異常:ランサムウェアは、重要なファイルにアクセスしたり暗号化したりするために、権限を昇格させることがよくあります。Vectra AIは、特権アカウントや重要なファイルシステムへの異常なアクセスを検知すると警告を発します。
- ラテラルムーブの検知:Vectra AIは、ランサムウェアがネットワーク全体に拡散しようとする不審なラテラルムーブを特定し、セキュリティチームに警告を発して、影響を受けたシステムを隔離します。
Vectra AIは、高度なAI主導の検知機能を通じて、攻撃チェーンの初期段階でランサムウェアの活動を検知するため、SOCチームは迅速に対応し、データの暗号化や被害の拡大を防ぐことができます。
