Ransomware Retrospective
Ransomware Retrospective
Ransomware Retrospective
Ransomware Retrospective
Ransomware Retrospective
Ransomware Retrospective
Ransomware Retrospective
Ransomware Retrospective
高度な脅迫型
脅威の台頭
2021年のランサムウェアを振り返る
ランサムウェアは昨日今日に始まったものではありません。米国司法省は、2016年以降、米国の組織に対して毎日4,000件以上のランサムウェア攻撃が行われていると見積もっています。この件数も驚異的ですが、攻撃の範囲と重大度はさらに深刻です。攻撃は慢性的に過小報告されていることを踏まえると、日ごとの件数ははるかに多い可能性があります。ランサムウェア攻撃の性質も過去1年半で大きく変化し、国家レベルの高度な戦術が営利目的のサイバー犯罪活動に進出しています。このレポートでは、ランサムウェアが、流出、暗号化、ソフトウェア・エクスプロイトという「ハット・トリック」によって、いかに高度な脅威となったかを探るとともに、政府がランサムウェア攻撃に対する措置をどのように変えているのか、各組織は形勢を逆転して優位に立つためにどのような対策をとることができるかについて考察します。
序文
厄介な
ランサムウェアの動向
厄介な
ランサムウェアの動向
新種のランサムウェアの脅威
報道される忌まわしい攻撃
85%
過去5年間にランサムウェア攻撃を受けたと答えた人
38%
過去5年間に
5回以上ランサムウェア攻撃を受けたと答えた人
51%
ITインフラストラクチャに
影響を受けたと答えた人
46%
エンドユーザを
狙った攻撃
98%
ダウンタイム、データ損失、罰金を
もたらした攻撃
57%
受けたランサムウェア攻撃の半数で
身代金を支払ったと答えた人
CISOやITセキュリティ・リーダー500人を対象にExtraHopが実施した調査の結果
注目を集めた2021年のランサムウェア攻撃
1月
2月
3月
4月
5月
6月
7月
8月
9月
10月
11月
12月
2021/2/26
2021/3/19
2021/3/20
2021/3/23
2021/4/21
2021/4/26
2021/4/28
2021/5/7
2021/5/31
2021/7/2
2021/8/11
2021/8/15
2021/9/7
2021/12/13
被害者
要求額
5,000万ドル
犯人
REvil
技法
流出および暗号化と、エクスプロイトの疑い
被害者
要求額
N/A
犯人
未公表
技法
流出、暗号化
被害者
要求額
4,000万ドル
犯人
Phoenix Locker/Evil Corp
技法
流出、暗号化
被害者
要求額
5,000万ドル
犯人
REvil
技法
流出、暗号化
被害者
要求額
400万ドル
犯人
Babuk
技法
流出、暗号化
被害者
要求額
750万ドル
(支払い額は440万ドル)
犯人
Darkside
技法
流出、暗号化
被害者
要求額
440万ドル
犯人
Darkside
技法
流出、暗号化
被害者
要求額
1,100万ドル
犯人
REvil
技法
流出、暗号化
被害者
要求額
7,000万ドル
犯人
REvil
技法
流出、暗号化、エクスプロイト
被害者
要求額
5,000万ドル
犯人
LockBit
技法
流出、暗号化
被害者
要求額
N/A
犯人
REvil
技法
流出
被害者
要求額
N/A
犯人
不明
技法
暗号化
被害者
要求額
N/A
犯人
不明
技法
暗号化
代表的および新たな
ランサムウェア戦術
ランサムウェア +
重要なインフラストラクチャ
ガス欠の不安ほど米国民の関心を引くものはありません。2021年5月にColonial Pipeline社がランサムウェア・インシデントへの対応措置として操業を停止したとき、大西洋岸のあちこちでドライバーが給油所に殺到し、満タンにしようと何時間も並びました。多くのドライバーが予備のガソリンを入れる容器も持ってきていました。操業の停止自体はすぐに解除されましたが、影響は長く続きました。この攻撃が公表されてからわずか数週間後、バイデン政権は、ランサムウェア攻撃に、テロリストの脅威と同様の優先度を適用することを開始すると発表しました。これまでのところ、バイデン政権はこの約束を実行しています。
断固とした措置
暗号化ランサムウェアの支払いのブロック
SUEXの既知の取引の分析を通じて、SUEXの既知の取引履歴の40%以上が不正アクタに関連していることが判明しています。
プレス・リリース, 米国財務省
2021年の身代金開示法
2021年の身代金開示法
ランサムウェアに関しては、米国当局への開示は重要な第1ステップですが、これだけでは十分ではありません。
被害組織が重要なインフラストラクチャに関与している場合は、そのインフラストラクチャに対する規制権限や利害関係を持つ関連部門にも、攻撃とその後の身代金支払いについての報告を行うことを被害組織に義務づけるべきです。身代金開示がFOIAの対象となる場合は、企業が株主と取締役会への通知を行うことも法案で義務づけるべきです。最後に、個々の身代金支払いがFOIAによる情報開示の対象とならない場合でも、ランサムウェア攻撃と身代金支払いについての集計データの報告書を議会、GAO、その他の利害関係者に提出することを政府に義務づけるべきです。
Mark Bowling(ExtraHop、セキュリティ・サービス担当VP)
身代金開示法案の発表からちょうど1週間後、バイデン政権はランサムウェアに対する透明性、説明責任、コラボレーションを高めるための独自のキャンぺーンを引き続き実施し、ランサムウェアに関するこれまでで最大の多国間会議を開催しました。この会議には、30か国から法執行機関、国家安全保障、サイバー・インテリジェンスの担当者が集まりました。この会議によって、法執行を通じたランサムウェア組織の破壊や、官民にわたるサイバーセキュリティの強化など、分野を越えた協力の意向が表明されました。サイバーセキュリティについては、重要なインフラストラクチャの強化が特に強調されています。
ランサムウェア保険の今後
しかし第3のオプションがあります。
セキュリティ組織がこうした攻撃に対する防護力を高めることです。
ランサムウェア・キル・チェーン
の
キル・スイッチ
ランサムウェアを軽減する方法
最新のランサムウェアのプレイブックは3幕で演じられます。各幕に、専門化、ツール、サービス化(As-a-Service)の固有のエコシステムがあります。
開始
最初の侵入
中盤
侵害後
終盤
脅迫
従来、セキュリティ・オペレーション・センター(SOC)は、インシデントの管理と対応において、エンドポイントでの検知と対応(EDR)ツールと、セキュリティ情報イベント管理(SIEM)ツールに大きく依存してきました。しかし、これらのツールでは水平方向(East-West)のトラフィックのリアルタイムの可視性は得られません。攻撃の中盤でインフラストラクチャのいたるところへ活動を拡大しようとするランサムウェアを検出するには、この可視性が不可欠です。
ターゲットの
列挙
横方向の
移動
ドメイン・
エスカレーション
SMBファイル・システムや
DBのエクスプロイト
コマンド&
コントロール
データの
ステージング
NDRソリューションは、サーバ、 Linuxホスト、管理されていないIoT、サードパーティ・ソフトウェアも含めて、すべてのデバイスのネットワーク通信をパッシブにキャプチャし、高度な行動分析と人工知能を適用して既知と未知の両方の攻撃パターンを特定します。NDRは、EDRのように、SIEMログ収集などの他のテクノロジのテレメトリの品質に依存することも、ホストなどへのエージェントのデプロイによって技術面・運用面で摩擦を生じさせることもありません。NDRが実現するトラフィックの可視化は、増加するサーバ、Linuxホスト、IoTデバイスによって引き続き生み出されている、EDRの防御のすき間の問題を補正する制御機能としての役割も果たします。攻撃の中盤に対するこの完全な可視性と高度な分析を通じて、今日の最新のランサムウェア・キャンペーンをリアルタイムに検知するための洞察が確保されるため、実際に被害が発生する前に侵入者を阻止できます。