医療サービス・プロバイダ

2016年初頭、大手医療サービス・プロバイダのある従業員が、自分のクライアント・マシンのパフォーマンスに問題を感じていました。従業員は、組織内のIT部門にサポートを依頼するためにチケットをオープンしました。調査結果は、関係者全員を驚かせ、警鐘を鳴らすものでした。たいした問題ではないように見えた処理の遅さやパフォーマンスの問題は、実ははるかに悪質なものであることが判明しました。クライアント・マシンはランサムウェアに感染していたのです。ランサムウェアは、その従業員がアクセスできるファイルやシステムを捕獲しようと、すでに動き出していました。同じ週に、Hollywood Presbyterian医療センターでデータを「人質」とする大規模な攻撃が発生していたことから、医療サービス・プロバイダのITチームとセキュリティ・チームは、同様の状況になるのを回避するために、従業員のマシンがいつ、どのようにしてランサムウェアに感染したのか、どのファイルやシステムが影響を受けたのかを特定する方法と、この悪意のあるファイルに関連するアクティビティが見つかったらすばやくアラートを発行する方法を必要としていました。このケースの場合、問題のファイルではこの組織のNASとはまったく関係のない拡張子が使用されていたため、チームは、この種のすべてのファイルについてのアラートを作成し、このランサムウェア・タイプに対する早期の警告として使用することにしました。

この医療サービス・プロバイダは、ネットワーク接続ストレージ（NAS）でのランサムウェアの行動に関するリアルタイムの洞察を得るために、ExtraHopを採用することにしました。### ネットワークからクライアント・マシンまでの可視性 ランサムウェアは、NASの共有ボリューム上のファイルにアクセスしてファイルを暗号化する際に、感染したユーザまたはマシンの権限を使用するため、ITチームはまず、従業員のマシンで何が起こっているか把握する必要がありました。チームは、ExtraHopを使用して水平方向（East-West）のトラフィックの監視と分析を行うことで、クライアント・マシンを監視し、ランサムウェアが読み取っている各ファイルをリアルタイムで確認することができました。その後、影響を受けた資産をすばやく分離して、攻撃の進行を食い止めることに成功しました。### CSI：ネットワーク ランサムウェア攻撃を阻止するための最も重要なステップはNASリソースへのアクセスをブロックすることですが、クライアント・マシンまたはユーザが最初にいつ、どのようにして感染したのか理解することも重要です。医療サービス・プロバイダのセキュリティ・チームは、ExtraHop Discoverアプライアンスが備える遡及機能を使用して、従業員のマシンでのアクティビティ、特に攻撃開始までの10分前を調査することができました。このケースの場合、ITチームとセキュリティ・チームは、ExtraHopの使用により、ランサムウェアが、ユーザが意図的にダウンロードしたPDFや実行可能ファイル由来のものではなく、従業員がクリックしたURIからもたらされたことを特定できました。