カジノサイト
ランサムウェアに感染した場合に予想されること
ランサムウェア攻撃手法は 1989 年にデビューしました。」ジョセフ・ポップは、世界保健機関のエイズ会議の出席者に、「エイズ情報 - 入門ディスケット」とラベルを付けた感染フロッピー ディスク 20,000 枚を配布しました。
生物学者のポップ氏は、ディスクが他のコンピュータ プログラムに悪影響を及ぼし、損害を回復するには料金が必要になるという内容のリーフレットが入ったディスクを持ち出す人々に警告したが、ディスクは依然として使用されていた。パナマの私書箱に189ドルを送金しない限り、被害者のデータとシステムを人質に取った。
フロッピー ディスクは過去のものとなったが、ランサムウェア発展を続けるそして脅威アクター新しいツールの導入を続ける攻撃を開始し、ターゲットにデータを回復するために高額な身代金を支払わせる戦術も、彼らはそれについては慎重ではありません。
ランサムウェアは「サイバーセキュリティの観点から見ると、世界で最も大きく、最も騒々しい脅威」であると、トレンドマイクロの脅威インテリジェンス担当バイスプレジデントであるジョン・クレイ氏は述べています。 「一度感染したら、それがわかります。」
ランサムウェアは、これらのグループにとって最後の収益機会です。
そして、脅威アクターがこのカードを使うのは、知的財産の窃盗や会社の資格情報の取得と販売など、他の目的を達成した場合のみです。つまり、データが侵害され、暗号化され、支払いを怠った場合にはオンラインに公開される可能性があることを被害者に通知するというカードです。
「ランサムウェアは、これらのグループにとって最後の収益機会です」とクレイ氏は付け加えた。 「彼らは数日または数週間にわたってネットワーク内に存在している可能性が高いです。」
GSX 2022 でのプレゼンテーションで、クレイは、ランサムウェアの脅威アクターに関して追跡してきた傾向、彼らが使用している戦術、ランサムウェアに遭遇した場合に予想されることについて共有しました。これには、推奨される方法ではない場合でも、身代金を支払うことに決めた場合の交渉プロセスの進め方も含まれます。
「いつでも身代金を支払え他のグループに対してランサムウェア活動を行うために、これらのグループにさらに多くの資金を集めています。」と彼は説明しました、「しかし、組織として、あなたはその決定を下す必要があります。」
支払い中
ランサムウェアに感染した場合、あなたまたはあなたの組織には、あなたを識別するための一意の ID が割り当てられます。これは、脅威アクター グループには同時に攻撃する可能性のある多数のターゲットがあるためです。その後、身代金を支払うことに決めた場合は、攻撃者と交渉することになります。通常は、交渉の進み具合によっては公開される可能性があるチャット システムを介して交渉します。
「匿名性を維持し、情報が公開サイトに流出しないように努めたいと考えています」とクレイ氏は言いました。 「いわば、一対一で交渉するということですね」
身代金を支払うたびに、他のグループに対してランサムウェア活動を行うために、これらのグループにさらに多くの資金を注ぎ込むことになります。
ほとんどのランサムウェア グループは、攻撃で取得および暗号化されたデータの量を被害者に通知し、身代金が支払われないと漏洩すると脅迫し、それを取り戻すための身代金を提供します。この金額は、組織の収益、ランサムウェア インシデントに対する保険の適用範囲、およびデータ自体の認識された価値に基づいている可能性があります。
その後、被害者には身代金の金額を交渉する機会が与えられます。クレイ氏は、彼の会社がランサムウェア交渉を追跡しており、被害者は25~90パーセントの割引交渉を行うことができ、交渉が長引くほど割引額は上がる可能性があると付け加えた。
クレイがここ数年で気づいた傾向の 1 つは、ランサムウェア グループが報酬を確実に受け取るためにプロセスの改善に取り組み続けているということです。これが、Ransomware-as-a-Service モデルの開発につながりました。このモデルでは、攻撃者グループがサービスを購入できるようにし、攻撃の開始方法、注目すべき被害者、ランサムウェア自体、被害者との通信の追跡方法を詳細に記載した完全で使いやすいキットを提供します。
「最近では、ランサムウェア攻撃の開始と実行をより効率的に行うために、多くの自動化が行われています。」と彼は付け加えました。
その他の注目すべき傾向
ランサムウェア攻撃が急増する中、攻撃者は、攻撃を開始する準備が整うまで活動を隠すために使用できる、信頼できるアカウントにアクセスするために有効な認証情報を狙う傾向が強くなっています。
たとえば、クレイ氏は、攻撃者が管理者の資格情報を盗み、デバイス上のセキュリティ ソフトウェアをオフにするために使用され、被害者が検出することなくランサムウェアが仕掛けられる例を目撃したと述べました。
脅威アクターも引き続き攻撃を行っています対象者、フィッシングなどによるもの。従業員をだましてリンクをクリックさせたり、添付ファイルを開かせたりすることは、組織のネットワークに対して技術的な攻撃を仕掛けるよりも簡単だからです。 「そして、リスクは低くても見返りは大きいのです」とクレイ氏は付け加えた。
ベストプラクティス
ランサムウェア攻撃を防止し、その影響を軽減することに関して、企業は攻撃を受けた場合の対処法について計画を立てておくべきだとクレイ氏は述べた。この計画には、特定のインシデント対応活動の責任者、支払いを決定するプロセス、およびその決定が取締役会にどのように伝達されるかについて詳しく説明する必要があります。保険会社、そして法務チーム。その後、この計画を定期的に実行する必要があります。
さらに、企業は次のようにファイルを定期的にバックアップする必要があります。。これには、プライマリ バックアップとデータの 2 つのコピーを作成し、バックアップを 2 つの異なるメディア タイプに保存し、1 つのバックアップ ファイルをオフラインに保つことが含まれます。
Clay は、 を実装して管理アカウントを強化することも推奨しました多要素認証そして無効化可能な限り。さらに、サードパーティによるネットワークへのアクセスを検討し、どのベンダーが特権アクセスを必要としているかを評価することを提案しました。これは、HVAC プロバイダーを介してシステムへのアクセスを介して実行されるターゲットに対するサイバー攻撃など、サードパーティ ベンダーを介して主要なターゲットを攻撃する、脅威アクターのアイランド ホッピングを防ぐのに役立ちます。
最後に、クレイ氏は、組織内でリーダーのサポートを受けてセキュリティを意識した文化を発展させることが重要であると述べました。これは、従業員がどのように標的にされる可能性があるかを理解するように従業員をトレーニングすることで実現できます。
5 つのポイント
クレイ氏は、ランサムウェア インシデントへの対応と全体的なセキュリティの向上に役立つ 5 つの主な要点のリストでプレゼンテーションを終えました。
- ランサムウェアの交渉を理解しておくと、被害に遭った場合に役立ちます。
- あらゆる交渉は公開されるものと考えてください。
- 最小限の特権の原則と管理アクセスを可能な限り制限することは、これらの攻撃を防ぐのに有益です。
- セキュリティ イベントのログは、誰かがそれらのログをベースラインと照らし合わせて監視し、異常がいつ発生したかを知る場合にのみ役立ちます。
- データのバックアップには 3-2-1 ルールを使用します。
クレイのセッションは GSX 2022 では録画されませんでしたが、彼のプレゼンテーションのスライドのコピーは、GSX アプリを介してオールアクセスの参加者が利用できます。
ミーガン・ゲイツは、が発行するGSXデイリーの編集長です。セキュリティ管理。彼女と連絡するには[email protected]。 Twitter で彼女をフォローしてください:@mgngates。