ランサムウェアは、今日組織が直面している最も重大なサイバーセキュリティの脅威です。 しかし最近では、国家安全保障局と FBI の両方のリーダーが 攻撃が減少したことを示した 多くのサイバー犯罪集団の発祥地であるロシアに対する制裁と、仮想通貨市場の暴落が相まって、ランサムウェア集団が資金を引き出して支払いを受け取ることが困難になった可能性があります。
だけど 私たちはまだ森から出ていません. 一時的な落ち込みにもかかわらず、ランサムウェアは繁栄しているだけでなく、進化もしています。 今日、Ransomware-as-a-Service (RaaS) は、パッケージ化されたエクスプロイト キットに依存するコモディティ化された自動化されたモデルから、人間が操作し、高度にターゲットを絞った洗練されたビジネス オペレーションへと進化しました。 これが、あらゆる規模の企業が懸念する理由です。
RaaSになる
今日のサイバー犯罪者は、装備が整っており、意欲が高く、非常に有能であることは広く知られています。 彼らは偶然にそのようになったわけではありません。 技術と方法論の進化. 大規模な金銭的利益の動機は、唯一の不変のものです。
初期のランサムウェア攻撃は、テクノロジー主導の単純な攻撃でした。 この攻撃により、バックアップと復元機能への関心が高まり、攻撃者は攻撃中にオンライン バックアップを探し出し、それらも暗号化するようになりました。 攻撃者の成功は身代金の増加につながり、身代金の要求が大きかったため、被害者が支払う可能性が低くなり、法執行機関が関与する可能性が高くなりました. ランサムウェア ギャングは恐喝で対応しました。 彼らは、データの暗号化だけでなく、被害者の顧客やパートナーの機密データを公開するための窃盗や脅迫に移行し、ブランドや評判を傷つけるより複雑なリスクをもたらしました. 今日、ランサムウェアの攻撃者が被害者のサイバー保険契約を調べて、身代金の要求を設定し、プロセス全体 (支払いを含む) を可能な限り効率的にすることは珍しくありません。
また、規律の緩い (しかし同様に損害を与える) ランサムウェア攻撃も確認されています。 たとえば、身代金を支払うことを選択すると、被害者が将来の攻撃に確実に適合するものとして識別され、同じまたは別のランサムウェア ギャングによって再び攻撃を受ける可能性が高くなります。 間の研究推定値 50%の80%に (PDF) 身代金を支払った複数の組織が繰り返し攻撃を受けました。
ランサムウェア攻撃が進化するにつれて、特に脅威の識別とブロックの分野で、セキュリティ テクノロジも進化しています。 アンチ フィッシング、スパム フィルター、アンチウイルス、およびマルウェア検出テクノロジはすべて、電子メール、悪意のある Web サイト、またはその他の一般的な攻撃ベクトルによる侵害の脅威を最小限に抑えるために、最新の脅威に対処するために微調整されています。
ランサムウェア攻撃を阻止するためのより優れた防御と洗練されたアプローチを提供する、敵対者とセキュリティ プロバイダーとの間のこのことわざの「いたちごっこ」は、世界のサイバー犯罪組織内でのより多くのコラボレーションにつながりました。 従来の強盗で使われる金庫破りや警報のスペシャリストと同じように、マルウェア開発、ネットワーク アクセス、エクスプロイトの専門家が今日の攻撃と攻撃を強化しています。 ランサムウェアの次の進化のための条件を作成しました.
今日の RaaS モデル
RaaS は、複雑な利益分配ビジネス モデルを備えた、人間主導の洗練された運用へと進化しました。 過去に独立して働いていた可能性のある RaaS オペレーターが、成功の可能性を高めるために専門家と契約するようになりました。
特定のランサムウェア ツールを維持し、被害者と通信し、支払いを保護する RaaS オペレーターは、現在、侵入自体を実行する高レベルのハッカーと協力することがよくあります。 ターゲット環境内にインタラクティブな攻撃者がいると、攻撃中にライブの意思決定が可能になります。 協力して、ネットワーク内の特定の弱点を特定し、権限をエスカレートし、最も機密性の高いデータを暗号化して支払いを保証します。 さらに、偵察を実行して、オンライン バックアップを見つけて削除し、セキュリティ ツールを無効にします。 契約したハッカーは、多くの場合、アクセス ブローカーと協力して作業を行います。アクセス ブローカーは、盗まれた資格情報または既に配置されている永続化メカニズムを介してネットワークへのアクセスを提供する責任があります。
この専門知識のコラボレーションから生じる攻撃は、「昔ながらの」国家が後援する高度で永続的な脅威スタイルの攻撃の感触と外観を持っていますが、はるかに蔓延しています。
組織が自らを守る方法
人間が操作する新しい RaaS モデルは、過去の RaaS モデルよりもはるかに洗練され、的を絞った、破壊的ですが、組織が自らを守るために従うことができるベスト プラクティスはまだあります。
組織は、セキュリティ衛生について規律を持たなければなりません。 IT は常に変化しており、新しいエンドポイントが追加されたり、システムが更新されたりすると、新しい脆弱性やリスクが発生する可能性があります。 セキュリティ チームは、パッチの適用、多要素認証の使用、強力な資格情報の適用、侵害された資格情報のダーク Web のスキャン、フィッシングの試みを発見する方法に関する従業員のトレーニングなど、セキュリティのベスト プラクティスに引き続き注力する必要があります。 これらは ベスト プラクティスは、攻撃対象領域を減らすのに役立ちます また、アクセス ブローカーが脆弱性を悪用して侵入できるリスクを最小限に抑えます。 さらに、組織のセキュリティ対策が強化されているほど、アナリストがセキュリティ オペレーション センター (SOC) で整理する「ノイズ」が少なくなり、実際の脅威が特定されたときにその脅威に集中することができます。
組織は、セキュリティのベスト プラクティスだけでなく、高度な脅威の検出と対応の機能を備えていることも確認する必要があります。 アクセス ブローカーは組織のインフラストラクチャ内で偵察に時間を費やしているため、セキュリティ アナリストはそれらを発見し、攻撃を初期段階で阻止することができますが、それは適切なツールを使用している場合に限られます。 組織は、エンドポイント、ネットワーク、サーバー、電子メールとクラウド システム、およびアプリケーション全体のセキュリティ イベントからテレメトリを検出して相互に関連付けることができる、拡張された検出および応答ソリューションに注目する必要があります。 また、攻撃が特定された場合はいつでも対応して、迅速にシャットダウンする能力も必要です。 大企業ではこれらの機能が SOC に組み込まれている場合がありますが、中規模の組織では、24 時間年中無休の脅威の監視と対応のためにマネージド型の検出と対応モデルを検討する必要がある場合があります。
最近のランサムウェア攻撃の減少にもかかわらず、セキュリティの専門家は、この脅威がすぐに消滅するとは考えるべきではありません。 RaaSは進化し続ける、最新の適応は、サイバーセキュリティの革新に対応する新しいアプローチに置き換えられています. しかし、主要な脅威の防止、検出、および対応テクノロジーと組み合わせたセキュリティのベスト プラクティスに重点を置くことで、組織は攻撃に対する回復力を高めることができます。
