最も有望な被害者を生み出す攻撃への進化
Forrester Researchによると、ランサムウェアのコストは115億ドルを超え、2019年には攻撃が500%増加しました。それはもはや永続的な脅威となっています。ランサムウェアは悪意のあるソフトウェアの一種で、コンピュータに感染し、身代金が支払われてロックを解除されるまで、コンピュータとそのデータへのユーザーのアクセスを制限します。CIA(confidentiality, integrity and availability:機密性、完全性、可用性)に挑戦する攻撃です。現在のランサムウェアを理解するには、攻撃構造の進化を確認するのが最善です。
ランサムウェアは30年以上、または3世代にわたって存在しており、皮肉なことに、1989年のグローバルなヘルスカンファレンスで、感染したフロッピーディスクが20,000人以上の参加者に配布されました。インターネットが進化し、より多くのコンピューティングデバイスとオンライン決済機能へのアクセスが可能になるにつれて、攻撃者の活躍の場も広がりました。
ランサムウェアの初期の亜種は、個々のコンピュータをロックするだけで、暗号化されていない場合もあり、シングルユーザーアクセスを妨げていました。しかし、これは組織全体をロックダウンするようになりました。犯罪者は、ランサムウェアを法執行機関(おそらくFBI)になりすまし、違法なファイルがシステム上にあると非難することにより、ソーシャルエンジニアリングに巧妙になりました。
2013年にCryptoLockerを導入したことで、ランサムウェアは恐ろしい戦術を超えて、一定の時間枠でシステムに損害を与えるという要求により、より攻撃的かつ簡単になりました。ランサムウェアが大きく前進したのは2014年のようです。CTB – Lockerは、そのビジネスモデルに一部起因して、フィッシングを通じて数十万の感染を引き起こし、2016年の最も危険なランサムウェアファミリーになりました。
そして、その後世界の注目を集めたランサムウェアとしては、WannaCryがあります。それは実質的に世界中に人質を取り脅しました。25万台を超えるコンピューターに感染するまでに数日しかかからず、ランサムウェアワームは、古いバージョンのWindowsをターゲットにしていました。デバイスのネットワークに入ると、悪用するデバイスをさらに検索しました。この広大な世界的規模を考慮して、WannaCryはメディアから多大な注目を集めました。調査で指摘されているように、サイバーセキュリティを役員室に持ち込むことが極めて重要であり、サイバーセキュリティがビジネスの主流の関心事となっていると主張する人もいます。
最新の進化、つまりRansomware-as-a-Service(RaaS)と呼ばれるビジネスモデルがCTB Lockerで機能し、GandCrabによってさらにレベルが引き上げられ、2018年と2019年第1四半期の最も発生の多いランサムウェアになりました。サイバー犯罪者にランサムウェアを提供するプラットフォームを提供し、ビジネスとして確立させています。
長年にわたるランサムウェアの変革は、技術の進歩に基づいて構築されています。インターネット、モバイル、暗号通貨など、マルウェアの戦術の範囲と組み合わせ。マルウェア戦術の歴史的遺産を考えると、サイバーセキュリティソリューションはこの知識を活用して、これらのアーティファクトと侵害の指標を探して調査する必要があります。
今日のランサムウェア
現状を見てみましょう。ランサムウェア市場は高度にターゲットを絞った戦術で進歩し、一部の人々が関与することを期待して、幅広いネットのキャストから離れています。サイバー犯罪者は今や、IT、システム、およびビジネス継続性に大きく依存している(犯罪者にとって)最も有望な被害者(MPV)ーお金、重要なIP、または機密の重要なデータを持つ組織、をターゲットとする攻撃を仕掛けています。攻撃者は最初に潜入してランサムウェアの機会を偵察し、さらなる利益のために最も犯罪者たちにとって有望な被害者を選定していきます。さらに、回復を防止するために効果的なデータ削除攻撃構造を採用しています。「身代金を支払うか、またはデータが公開される」という新たな脅威も出現しました
あなたの組織は、洗練されカスタマイズされたランサムウェアのターゲットまたはMPVになっても対処することができるでしょうか。このようなMPV攻撃の最近の例については、このビデオをご覧ください。
洗練されたランサムウェアを先取りする
理想的には、誰もがMPVにはなりたくないでしょう。MPVになるのを避けるための最善な対策とは、積極的になることです。サイバーセキュリティがこれらの攻撃を業界、地域、セキュリティ体制に基づいて自動的に優先順位付けできるとしたらどうでしょう?攻撃を受ける前に攻撃の仕組みに関する詳細情報を入手できたらどうでしょうか。MPVである可能性を予測できる場合はどうでしょうか。さらに重要なのは、攻撃を受ける前にこれらの攻撃に対抗するために実行する特定のアクションが処方された場合はどうなるでしょうか。エンドポイントセキュリティをインテリジェントに推進するMVISION Insightsはそれを可能にします。
ヒューマンインターフェースと人工知能の成果
Advanced Threat Research(ATR)チームは、これらのプロアクティブな洞察をあなたの関心事についてもたらすための人工知能を備えた人的情報収集技術集団です。ATRチームの研究者として、10億を超えるセンサーから豊富なランサムウェアやその他の高度な脅威に関する洞察を得ています。マカフィーの足跡とコミュニティは、脅威の展望と実際のベストプラクティスについて多面的な見通しをもたらします。最近の価値のあるランサムウェアの発見は、Netwalkerとその亜種です。この記事(RaaSの進化 ー NetWalkerランサムウェアを調査)ではNetwalkerランサムウェアについて詳しく説明しています。ランサムウェア自体の技術的な詳細だけでなく、犯罪の利益の獲得プロセスの大部分を追跡しました。Netwalkerは、実に1四半期に1900以上のビットコインを集めることで、いくつかの大きな成功を収めています。文字通りMPVを1つずつ選定する攻撃です。
MVISION Insightsは、検出結果を自動化してプロアクティブに配信し、重要な脅威を警告してアドバイスします。この壮大なレベルで人間の直感と機械学習の力をもたらす製品は今のところ他にはないと言ってよいでしょう。MVISION Insightsが提供する機能を確認するには、MVISION Insightsのプレビューを一度ご確認ください。これは、MVISION Insightsが自動的に提供する脅威のサンプルとプロアクティブなインテリジェンスのWebベースのエクスペリエンスです。お見逃しなく!
※本ページの内容は2020年8月26日(US時間)更新の以下のMcAfee Blogの内容です。
原文:Understand and Manage Pesky Persistent Threats
著者:John Fokker