サイバー犯罪者は、より戦略的かつ専門的になりつつあります。 ランサムウェア. 彼らは、増大するサービスとしてのサイバー犯罪のサプライ チェーンを活用するなど、正当なビジネスの運営方法をますます模倣しています。
この記事では、ランサムウェアの XNUMX つの主要な傾向について説明し、これらの新しい攻撃の犠牲にならないようにするためのアドバイスを提供します。
1. 上昇中の IAB
企業への侵害、資格情報の盗用、およびそのアクセス権の他の攻撃者への販売を専門とする初期アクセス ブローカー (IAB) の増加によって証明されるように、サイバー犯罪はますます収益性を高めています。 IAB は、Cybercrime-as-a-Service キル チェーンの最初のリンクです。これは、犯罪者になりそうな人が購入して高度なツール チェーンを構築し、考えられるほぼすべてのデジタル攻撃を実行できる、既製のサービスのシャドウ エコノミーです。
IAB の主な顧客はランサムウェア オペレーターです。ランサムウェア オペレーターは、既製の被害者へのアクセスに喜んでお金を払いますが、彼らは恐喝とマルウェアの改善に専念しています。
2021 年には、 1,300のIABリスト KELA サイバー インテリジェンス センターが監視する主要なサイバー犯罪フォーラムで、半数近くが 10 の IAB から来ています。 ほとんどの場合、アクセスの価格は 1,000 ~ 10,000 ドルで、平均販売価格は 4,600 ドルでした。 利用可能なすべての製品の中で、VPN 資格情報とドメイン管理者アクセスが含まれていました。 最も価値のある.
2. ファイルレス攻撃はレーダーの下を飛んでいます
サイバー犯罪者は、APT (Advanced Persistent Threat) や国家レベルの攻撃者から手がかりを得て、Living Off The Land (LotL) とファイルレス技術を採用して、検出を回避してランサムウェアをうまく展開する可能性を高めています。
これらの攻撃は、ターゲットの環境でよく見られる、正規の公開されているソフトウェア ツールを利用します。 たとえば、 DarkSideランサムウェア によると、攻撃には正当なツールが関与しており、マルウェアを使用したのはわずか 9% でした。 レポート Picus セキュリティによって。 100% ファイルレスの他の攻撃も発見されています。
このようにして、攻撃者は、プロセス名やファイル ハッシュなどの「既知の悪意のある」指標を回避することで、検出を回避します。 信頼できるアプリケーションの使用を許可するアプリケーション許可リストも、特にユビキタス アプリの場合、悪意のあるユーザーを制限できません。
3. 目立たない標的を狙うランサムウェアグループ
高プロファイル 植民地時代のパイプライン 2021 年 XNUMX 月のランサムウェア攻撃は、重要なインフラストラクチャに深刻な影響を与えたため、国際的な トップ政府の対応.
このような見出しをつかむ攻撃は、法執行機関と防衛機関による精査と協調的な取り組みを促し、ランサムウェア オペレーターに対して行動を起こし、犯罪活動の混乱、逮捕、起訴につながります。 ほとんどの犯罪者は、自分たちの活動を目立たないようにしたいと考えています。 潜在的な標的の数を考えると、オペレーターは自分たちのオペレーションに対するリスクを最小限に抑えながら、日和見的になる余裕があります。 ランサムウェアのアクターは、IAB が提供する詳細で粒度の高いファーモグラフィーによって、被害者を標的とする際にはるかに選択的になるようになっています。
4. インサイダーはパイのかけらで誘惑される
ランサムウェアのオペレーターは、不正な従業員を雇ってアクセスを支援できることも発見しました。 コンバージョン率は低いかもしれませんが、見返りは努力する価値があります。
A 日立ID調べ 7 年 2021 月 4 日から 2022 年 65 月 XNUMX 日までの間に行われた調査では、回答者の XNUMX% が、従業員が脅威アクターから初期アクセスを提供するように求められたと述べていることがわかりました。 企業を裏切る理由はさまざまですが、雇用主に対する不満が最も一般的な動機です。
理由が何であれ、ランサムウェア グループによる提案は魅力的です。 日立 ID の調査では、連絡を受けた従業員の 57% が 500,000 万ドル未満、28% が 500,000 万ドルから 1 万ドル、11% が 1 万ドルを超えるオファーでした。
保護を改善するための実際的な手順
ここで説明する進化する戦術は、ランサムウェア オペレーターの脅威を増大させますが、組織が自身を保護するために実行できる手順があります。
- ゼロトラストのベストプラクティスに従い、 多要素認証 (MFA) や最小特権アクセスなどを使用して、資格情報が侵害された場合の影響を制限し、異常なアクティビティを検出する可能性を高めます。
- 内部関係者の脅威を軽減することに重点を置き、 これは、従業員だけでなく、外部のアクター (アクセス権を取得すると内部関係者のように見えます) による悪意のあるアクションを制限するのに役立つプラクティスです。
- 定期的な脅威ハンティングの実施、 これにより、防御を回避しようとするファイルレス攻撃や攻撃者を早期に検出できます。
攻撃者は常に、組織のシステムに侵入するための新しい方法を探しています。私たちが目にしている新しい手口は、サイバー犯罪者が攻撃に対して準備ができていない組織よりも優位に立つことを確実に増やしています。 しかし、組織は無力ではありません。 この記事で概説されている実践的で実証済みの手順を実行することで、組織は IAB やランサムウェア グループの生活を非常に困難なものにすることができます。
