ランサムウェアの仕組み

‍

ランサムウェアは、まず職場の個人または従業員のシステムに最初に感染することから始まります。ランサムウェアがデバイスを感染させる一般的な方法は 2 つあります。1 つは悪意のある E メールまたは URL です。

悪意のある E メール (よく呼ばれる)フィッシングまたは迷惑メールには、感染した添付ファイルが含まれていることがよくあります。添付ファイルには、ユーザーに開封を促すような興味深い名前や緊急性の高い名前が付けられています。多くの場合、税金、偽の請求書、偽の荷物の追跡、または時事問題に関連するものです。

ドライブバイダウンロードやマルバタイジングなどのウェブベースの攻撃を仕掛けるために、メールに悪意のあるURLを使用してユーザーをクリックさせることがあります。

ランサムウェアの初期バージョンであるCryptoWallが、エンドポイントに存在感を示した後の仕組みを見てみましょう。ラップトップが感染すると、CryptoWallは、スタートメニュー、タスクバー、デスクトップ、ファイルマネージャーを備えたWindowsの一部である explorer.exe を破壊し、再起動します。その後、シャドウコピーの削除、マルウェアのインストール、サービスの無効化などを行います。永続性が確立されるため、デバイスを再起動しても削除されません。

次に、CryptoWallはコマンドアンドコントロールサーバーと通信して、ファイルをロックアップするための暗号化キーを取得します。このキーにより、ローカルシステム上のすべてのファイルが暗号化され、接続されたネットワークドライブからアクセス可能なファイルも暗号化されます。ランサムウェアの仕組み上、ランサムウェアへのアクセスを取り戻す唯一の方法は、CryptoWallの背後にいるグループに身代金を支払って入手した暗号鍵を使用することです。

‍

加害者は誰ですか？

高度なランサムウェア攻撃は、既存のランサムウェアのバリエーションを巧みに改変して通り抜けるような作者が仕掛ける可能性があります。 マルウェア スキャナー。ただし、ランサムウェアの攻撃者は必ずしもプログラマーではありません。攻撃者の中には、作者からマルウェアソフトウェアを購入し、その収益の一部を開発者に支払う人もいます。これはランサムウェア・アズ・ア・サービス (RaaS) として知られています。これらの犯罪者は、匿名の暗号通貨の時代には追跡が困難です。

‍

ランサムウェアはなぜ拡散しているのか

報告されたランサムウェアインシデント 2021年には 62% 増加しました 2020年と比較してください。ランサムウェア攻撃は、いくつかの理由で急速に増加しています。

RaaS の時代では、攻撃者はテクニカル・コーダーである必要はありません。これにより、サイバー犯罪者になるためのツールを持っている人の数が増えます。また、ランサムウェアの亜種を作成できるオープンソースのコードやドラッグアンドドロップのプラットフォームも多数あります。

さらに、自宅や会社以外のコンピューターで作業するユーザーが増えています。これにより、フィッシングメールや悪意のあるダウンロードの扉が開かれます。

‍

ランサムウェア攻撃の例

ランサムウェアを積極的に防止するには、組織が一般的なランサムウェア攻撃の戦術と特徴を理解することが重要です。

‍

ワナクライ

WannaCryは、単独で拡散するランサムウェアです。この攻撃は、NSA が開発した EternalBlue エクスプロイトを利用して、マシンを危険にさらしたり、マルウェアを読み込んだり、他のマシンに伝播したりしていました。具体的には、Windows コンピューター間のファイル共有などのタスクに使用される Microsoft サーバーメッセージブロック (SMB) の脆弱性を利用していました。その後、エターナルブルーは DoublePulsar をインストールして、感染したシステムに悪質なコードを実行させます。

マイクロソフトは攻撃時にパッチをリリースしていました。しかし、標的となった多くの組織は、これらの古いシステムの耐用年数を過ぎてもパッチを適用していませんでした。

その拡散能力を考えると、世界中で20万台以上のシステムに感染したと推定されています。

‍

ノットペティア

世界がWannaCryからまだ動揺している中、2017年6月下旬にNotPetyaが登場し、世界がこれまでに見た中で最も壊滅的な攻撃となりました。

NotPetyaは一見ランサムウェアのように見えましたが、破壊のみを目的として設計されたワイパーマルウェアであり、不可逆的な暗号化が施されていることが判明しました。攻撃は、MeDocと呼ばれるウクライナの税務会計ソフトウェアを侵害した悪意のある攻撃者によって開始されました。MeDocには、主にヨーロッパを中心に数十万の顧客がおり、このソフトウェアを使用してウクライナでビジネスを行っていました。他のソフトウェアと同様、MeDocも知らず知らずのうちに侵害されたアップデートを顧客に公開しましたが、顧客はこのベンダーのアップデートを暗黙のうちに信頼していました。これは、ソフトウェアベンダーと顧客間の信頼を悪用したサプライチェーン攻撃であり、侵害されたソフトウェアであるMeDocをシステムの足掛かりとして利用していました。その後、攻撃はNotPetyaと呼ばれるPetyaランサムウェアの最新バージョンで開始されました。

攻撃は、パッチが適用されていないシステムにEternalBlueやEternalRomanceを使用するか、パスワード収集技術によって盗まれた認証情報を利用してPSExecやWMIなどのツールをより多くのシステムに広めることを可能にするため、横方向に広がりました。現在、地政学的なサイバー兵器と見なされている NotPetya（ノットペチャ）による世界規模の損害総額は、100億ドルにのぼると推定されています。

‍

二重強要

Lady Gagaは新しいランサムウェア攻撃手法とどのような関係があるのでしょうか？

二重強要における彼女の疑う余地のない役割。

ランサムウェア攻撃は、一部の攻撃によってさらに恐喝される可能性があるため、さらに厄介なものになっています。まず、攻撃者は足掛かりを得て機密データを見つけ、それを自分のサーバーに流出させます。機密データが盗まれると、攻撃者はシステムの暗号化を進めます。システムがロックアップされるだけでなく、被害者が支払いをしない限り機密情報が公開される可能性があり、組織に身代金の支払いを求める圧力がさらに高まります。

最近、攻撃者はエンターテインメント法律事務所を標的にして、レディー・ガガ、ブルース・スプリングスティーン、クリスティーナ・アギレラなどの著名なクライアントに関するデータを盗みました。彼らは当初、機密情報を所持していた証拠として、レディー・ガガに関する契約書を公開しました。

攻撃の背後にいるグループは、法律事務所が約4200万ドルに達した身代金要求の支払いを拒否した場合、より多くの有名人のデータを公開すると脅迫しました。

‍

ランサムウェアのビジネスへの影響

ランサムウェアはビジネスの生産性に大きな影響を与えます。攻撃者は、企業が身代金をすぐに支払わなければ、機密データを公開すると脅して企業を脅迫します。2016 年、SamSamランサムウェアは、組み込み型の水平移動または自己増殖という恐ろしい新機能を公開し、世界中に不愉快な驚きをもたらしました。その理由は？攻撃者は、企業ネットワーク全体を効果的に標的にして膨大な量のミッションクリティカルなデータを暗号化し、ひいてはより多額の身代金の支払いを要求することができます。SamSamの場合、攻撃者は古いサーバーの脆弱性を悪用して侵入しました。いったん内部に入ると、SamSamは暗号化のためにネットワークに接続された他のシステムを探して、横方向に移動しました。

‍

ランサムウェアはどのように拡散しているのか

単独で拡散できるランサムウェアは大きな注目を集めていますが、最近のランサムウェア攻撃の多くは、より系統的で攻撃者が制御しているようです。

これらの攻撃は、ラテラルムーブメントが組み込まれたランサムウェアほど速くは動きませんが、環境を監視するための滞留時間が長いため、同じくらい壊滅的です。近年、米国の自治体から攻撃が相次いでいると報告されていますが、まったく報告されていないものも多くあるようです。ほとんどの場合、攻撃者はランサムウェアが暗号化される前に何週間も環境を侵害します。

これらの攻撃は、Windowsへのリモートアクセスに使用されるリモートデスクトッププロトコル（RDP）などの設定が不十分なサービスのフィッシングやブルートフォース攻撃によって足がかりを得ます。いったん侵入すると、RDP や WMI を悪用して、理想的にはドメインコントローラーに到達するために、開いているポートを介してピアツーピアのラテラルムーブメントを試みる攻撃が組織的に行われます。

NotPetyaにもあるクレデンシャル・ハーベスティングは、横方向への移動にも使用されます。Mimikatz のようなツールはこれを促進して権限昇格を可能にし、攻撃者がネットワーク内でより高いレベルの権限を得られるようにします。

いずれにしても、攻撃者はドメインコントローラーにアクセスして、攻撃対象の企業の IT 管理者になることがよくあります。

現時点では、他のシステムでプロセスを実行するために使用されるPSExecや、オペレーティングシステムの管理タスクを自動化するために使用されるPowerShellなどの既存のIT管理フレームワークを使用して、悪意のあるファイルをシステムにドロップして、「土地を離れて生活している」ことになります。

‍

ランサムウェア攻撃を防ぐ方法

どうすれば身を守ることができますか?多くの攻撃が、検出をほとんど回避するために、新しく作成されたマルウェアやその土地に生息するマルウェアを使用していることを考えると、非常に難しい課題です。大規模なランサムウェア攻撃のリスクを軽減するためのベストプラクティスはいくつかあります。

US-CERTによると、ランサムウェアのリスクを軽減する主な方法をいくつかご紹介します。

• ラップトップとネットワークをセグメント化して、最初に感染したラップトップが最後のラップトップになるようにして、攻撃が最初のシステムを超えて進まないようにします。
• すべてのシステムに定期的にパッチを適用して、脆弱なアプリケーションやOSが標的にされないようにします。
• 効果的なメールとエンドポイントセキュリティツールを使用して、できるだけ多くのフィッシングメールが受信トレイに届いたり、ランサムウェアに関連する悪意のあるアクティビティがエンドポイントに到達してファイルを暗号化したりすることを阻止します。
• 電子メールの添付ファイルを注意深く開き、不明な送信者からの電子メールの添付ファイルには注意するようにユーザーを指導します。
• システムを頻繁にバックアップし、バックアップを個別に保存して、必要に応じてネットワークからアクセスできないバックアップを使用して以前の状態に復元できるようにします。

‍

ランサムウェア攻撃への対応

デバイスがマルウェアに感染している疑いがある場合は、さらなる被害を防ぐためにいくつかの対策を講じる必要があります。まず、感染したデバイスをネットワークや他のデバイスからできるだけ早く切断します。これにより、あるデバイスから別のデバイスへのランサムウェアの拡散を防ぐことができます。企業は以下を使用することでマルウェアの迅速な拡散を防ぐことができます。ゼロトラストセグメンテーション、含む マイクロセグメンテーション、ワークロードを互いに分離します。

次のステップは当局に連絡することです。デバイスをランサムウェアに感染させることは法律違反です。また、ファイルを取り戻すのに役立つツールが用意されている場合もあります。

ファイルを別の場所にバックアップした場合は、ファイルを元に戻すことができます。これが、定期的なファイルバックアップが不可欠な多くの理由の 1 つです。バックアップがない場合は、オンラインで調べてランサムウェアの復号鍵を探してみてください。残念ながら、正しい鍵が見つからない場合は、ファイルがなくなったことを受け入れる必要があるかもしれません。

‍

身代金を支払うべきか?

ファイルを取り戻すために身代金を払わないでください。解読キーが実際に渡される保証はなく、犯罪行為に資金を提供することになります。また、お金を払うと、繰り返し標的になります。犯罪者はあなたからお金を盗むことができることを知ったので、今後もデバイスを感染させ続けるでしょう。

フィッシングメールや悪意のある URL に含まれる潜在的なマルウェアを特定できれば、ファイルが破壊されるのを防ぐことができます。この記事を読んだら、次回「ランサムウェアとは何か？」と聞かれたときに答えることができます。また、攻撃を防ぐ準備が整い、デバイスが感染した場合に取るべき対策もわかっています。

‍

さらに詳しく

ゼロトラストセグメンテーションの仕組みをご覧ください ランサムウェアを含む への拡散を止めます ワークロードとデバイスの保護。

‍