2020年Verizon Data Breach Reportによると、ランサムウェアは3番目に頻度の高いマルウェア攻撃である。その証拠に、10月4日、フォーチュン500の病院および医療サービスプロバイダーであるユニバーサル・ヘルス・サービス(UHS)が、サイバー攻撃によって社内ネットワークが破壊された後、米国内のさまざまな医療施設のシステムをシャットダウンしたと報じられた。
特にパンデミック(世界的大流行)の現状を考えると、どのような種類の医療攻撃も致命的となりうる。これはまた最近のサイバー攻撃であり、ランサムウェア攻撃によってIT 、インフラが停止するという結末を迎えている。この場合、UHSは一部の患者を近隣の病院に振り向けている。
しかし多くの人は、ランサムウェアの起動が攻撃の最終段階に過ぎないことを知らない。攻撃が実行される前には、多くの段階があり、攻撃を阻止するチャンスがある。
ランサムウェアとは一体何なのか?
ランサムウェアは、身代金の支払いを要求してコンピュータ・システム・ファイルの使用を阻止するように設計された悪意のあるソフトウェアです。ランサムウェアのほとんどの亜種は、影響を受けたデバイス上のファイルを暗号化し、使用不能にし、それらへのアクセスを回復するために身代金の支払いを要求します。
ランサムウェアのコードは洗練されていることが多いが、そうである必要はない。なぜなら、従来のマルウェアの他の形態とは異なり、一般的に標的を達成するために長期間検知されないでいる必要がないからだ。このような比較的容易な実装と高収益の可能性により、サイバー犯罪の洗練された行為者と初心者の行為者の両方が、ランサムウェア・キャンペーンを実行するよう惹きつけられるのです。
"犯罪フォーラムやマーケットプレイスで発見されたランサムウェアのスレッドの7%で、「サービス」が言及されており、攻撃者自身が作業を行う必要すらないことを示唆している。"- 2020年データ侵害調査報告書、16ページ。
ランサムウェアは非常に人気があり、サイバー犯罪者に代わって実行を代行するサービスを購入することができる。このような盛況な市場により、ランサムウェアとランサムウェア・サービスは増加の一途をたどっている。
ランサムウェアはどのようにしてネットワークに侵入するのか?
攻撃者が悪意のあるファイルを配信する最も一般的な方法は、フィッシング攻撃のような一般的な人為的ミスを悪用することである。添付ファイルは多くの場合、悪意のあるソフトウェアを配信するペイロードを運びます。攻撃者は、RDPやパッチが適用されていないウェブ・アプリケーションなど、露出したインターフェイスを悪用する傾向があります。また、ランサムウェアは、侵害されたウェブサイトや悪意のあるウェブサイト上で、ドライブバイダウンロード攻撃によって配信されることもあります。一部のランサムウェア攻撃は、ソーシャルメディアからのメッセージを使用して送信されることもあります。
通常、ランサムウェアは、攻撃者が電子メールリストや侵害されたウェブサイトを入手し、ランサムウェアを送りつける「ショットガン」手法で使用される。
ランサムウェアからの保護
攻撃のライフサイクルには、マルウェアを阻止するためのいくつかの段階が存在する。ランサムウェアを止めるための第2段階は、(それが自律的なものでないと仮定した場合)コマンド&コントロール(C2)サーバーとの通信を阻止することであり、第3段階は、実行開始直後、ネットワーク内で横方向に移動する前に阻止することである。
マルウェアがネットワークに侵入するのを防ぐという最初の段階が最も重要である。攻撃者は通常、フィッシング・テクニックを使ったり、誤った設定のRDP接続や会社のポリシーに準拠していないエンドポイント経由など、安全でないリモート・アクセス接続を利用しようとします。これらのデバイスは、ランサムウェアがネットワーク組織への接続をピギーバックすることを可能にします。
第二段階は、マルウェアがC2と通信できないようにすることで、通常はFireWallとネットワークベースの検知システムを導入し、ネットワークシグネチャを探す。
第3段階は、ランサムウェアがネットワーク内で起動し、拡大するのを阻止することである。
OPSWAT は、攻撃から身を守るための予防的ソリューションを提供しています。当社のソリューションは、フィッシングを阻止するEメールゲートウェイ・セキュリティ・ソリューション、コンプライアンス検証を支援するセキュア・アクセス・ソリューション、そして、マルウェアがネットワークに侵入するのを防止するソリューションなど、組織がマルウェアに感染するのを防止するのに役立ちます。
file upload security that performs Deep CDR™ Technology (Content Disarm and Reconstruction) using MetaDefender Core. These are just some of the many products which OPWAST offers to help keep critical infrastructures networks secure from ransomware. For more information, contact us today.
参考文献
https://enterprise.verizon.com/resources/reports/dbir/
https://www.blackfog.com/the-state-of-ransomware-in-2020/
https://www.microsoft.com/en-us/download/details.aspx?id=101738
- Deep CDR™テクノロジー ,
- MetaDefender Core
