DarkSideの紹介
2020 年 8 月に最初に発見されたこのグループは、さまざまなランサムウェア グループの経験豊富なサイバー犯罪者で構成されていると思われます。 DarkSideは、ランサムウェア・アズ・ア・ サービス (RaaS)分野に最近参入し、ランサムウェアを開発し、他のサイバー犯罪者に販売しています。
これにより、サイバー犯罪者は特定の分野に特化することができます。 DarkSideグループはマルウェアの開発と改善に重点を置いていますが、顧客はターゲットネットワークへのアクセスを取得し、その中の重要または価値のあるシステムにマルウェアを配信することを専門としています。
The DarkSide group made headlines for a ransomware attack against Colonial Pipeline, which transports about half of the fuel to the East Coast of the United States. This attack crippled the pipeline’s operations, causing a complete shutdown for multiple days and causing the US government to announce a state of emergency due to the attack posing a potential national security threat.
DarkSideランサムウェアの仕組み
ランサムウェアグループ「DarkSide」は、標的型攻撃を行います。 このグループは非政治的であると主張し、金儲けに焦点を当てていますが、社会に問題を引き起こしたくありません。 その一環として、同グループは攻撃の「許容可能な標的」と見なすもののリストを公開しています。
DarkSideランサムウェアが標的環境にアクセスすると、まずビジネスから機密性の高い貴重なデータを収集して盗み出すことから始めます。 これは、DarkSideが「二重恐喝」攻撃を実行するためであり、ファイルを復号化するための身代金を支払わない被害者は、要求が満たされない限り、データが漏洩すると脅迫されます。 DarkSideグループは、DarkSide LeaksというWebサイトを運営しており、身代金の支払いを拒否するターゲットのデータを公開しています。
データを盗み、感染したコンピューターを暗号化した後、DarkSideグループは特定のターゲットに合わせた身代金要求を送信します。 標的企業の規模とリソースに基づいて、身代金の要求は 200,000 ドルから 2,000 万ドルまでさまざまです。 DarkSideグループは、利益を得る可能性を高めるために、企業を徹底的に調査して主要な意思決定者を特定し、要求された身代金を最大化し、標的組織の支払い能力の範囲内であることを確認します。
RaaSベンダーとして、DarkSideグループはマルウェアをより効果的にし、検出とブロックをより困難にするために、マルウェアの改善に注力しています。 この目的のために、このグループは最近、マルウェアのバージョン2.0をリリースし、攻撃キャンペーンで積極的に使用されています。
ランサムウェアの脅威の管理
The emergence of the DarkSide ransomware group demonstrates the increasing threat of ransomware attacks. A number of different ransomware groups are currently operating, and the RaaS business model makes it possible for groups with sophisticated malware – like DarkSide – to expand their impact by selling access to their ransomware to other cybercrime groups.
巧妙なランサムウェアにアクセスするグループが増えているため、ランサムウェアの防止はあらゆる組織のサイバーセキュリティ戦略の重要な要素です。
ランサムウェアの脅威を軽減するには、次のような 特定のベストプラクティスを実装する必要があります。
- 意識向上トレーニング: ランサムウェアの大部分は、フィッシングやその他のソーシャルエンジニアリング攻撃によって配信されます。 不審なメールを認識して適切に対応できるように従業員をトレーニングすることは、不審なメールがもたらす脅威を軽減するために不可欠です。
- データのバックアップ: ランサムウェアはデータを暗号化するように設計されており、組織はアクセスを回復するために身代金を支払うことを余儀なくされます。 データのバックアップを頻繁に作成することで、ランサムウェア攻撃によって引き起こされる潜在的なデータ損失を最小限に抑えることができます。
- パッチ管理: ランサムウェアの亜種の中には、組織のシステムのパッチが適用されていない脆弱性を悪用して拡散するものがあります。 更新プログラムを迅速にインストールすることで、攻撃者に悪用される前にこれらのギャップを埋めることができます。
- 多要素認証: 侵害されたユーザー資格情報は、RDPまたはVPNで使用され、企業のコンピューターにアクセスしてマルウェアを植え付けます。 多要素認証(MFA)を実装することで、脆弱なパスワードや侵害されたパスワードのリスクを制限できます。
エンドポイント セキュリティ: ランサムウェアは、さまざまな方法で組織のコンピューターにアクセスできます。 ランサムウェア対策機能を備えたエンドポイントセキュリティソリューションは、ランサムウェア感染を検出して排除し、発生した被害を最小限に抑えるのに役立ちます。
Protecting Against Ransomware with Check Point Endpoint Security
Check Point’s Check Point Endpoint Security is a full-featured endpoint security solution that provides robust protection against ransomware attacks. In the latest MITRE Engenuity ATT&CK evaluation, Check Point Endpoint Security detected all attack techniques used in the test, demonstrating its ability to provide comprehensive protection against modern cyber threats, including ransomware attacks.
Check Point Endpoint Security enables organizations to proactively detect ransomware infections within their environments. To learn about threat hunting with Check Point Endpoint Security, watch this video. Additionally, see how Check Point Endpoint Security can be used to identify Maze ransomware infections in this video.
To learn more about Check Point Endpoint Security’s capabilities, check out the solution brief. You’re also welcome to see Check Point Endpoint Security in action with a personalized demo and try it out for yourself with a free trial.
