Maze ランサムウェアとは何ですか?
ランサムウェアは何十年も前から存在していますが、有名になったのは 2017 年の WannaCry ランサムウェア攻撃によってのみです。 他のサイバー犯罪者は、WannaCry の成功に注目して、独自のランサムウェア亜種を開発し、独自の攻撃キャンペーンを開始しました。 Maze は、これらの新しいランサムウェアの亜種の 1 つです。 数年前から存在していましたが、2019年に 「二重恐喝」の身代金を開拓 し、歴史に名を刻みました。
これまで、ランサムウェアは単純なビジネス モデルで動作していました。つまり、ユーザーのファイルを暗号化し、アクセスを回復したければ身代金を要求するというものでした。 ただし、このアプローチは、ターゲットが身代金を支払った場合にのみ機能します。 ランサムウェア被害者の一部はバックアップから復元できましたが、他の被害者は損失を受け入れ、ランサムウェア運営者に対して「動物に餌を与えない」アプローチを取りました。
収益の減少により、Maze ランサムウェア グループは戦略を変更し、従来のランサムウェア攻撃とデータ侵害を 1 つのキャンペーン内で組み合わせることを決定しました。 彼らは組織のネットワークにアクセスし、大量の機密情報を盗み、すべてを暗号化します。 ターゲットが身代金の支払いを拒否した場合、Mazeグループは盗んだデータを公開するか、最高入札者に販売すると脅迫します。
このアプローチは、盗まれたデータを公開すると、組織が競争上の優位性を失い(知的財産や企業秘密が競合他社に開示された場合)、データ保護規制に抵触する可能性があるため(GDPR、CCPAなどで保護されている顧客データが失われるため)、Mazeの成功確率を高めました。
Maze ランサムウェアはどのように機能しますか?
大まかに言えば、Maze は他のランサムウェアの亜種と何ら変わりません。 これらはすべて、現在使用されている暗号化アルゴリズムが最新のテクノロジーでは解読できないという事実を利用しています。 データが暗号化されている場合、対応する復号化キーを持つユーザー (この場合は Maze グループ) のみが元のデータにアクセスできます。 その結果、ランサムウェアが行う必要があるのは、ファイルを暗号化し、元のファイルとバックアップを削除し、暗号化キーのコピーのみがランサムウェア オペレーターに送信されるようにすることだけです。
それにもかかわらず、すべてのランサムウェアの亜種とキャンペーンが同一であるわけではありません。 ランサムウェアの亜種の違いの 1 つは、最初の感染経路の選択と、ネットワークを通じて拡散する方法にあります。 Maze は通常、フィッシングメール経由でアクセスし、さまざまなテクニックを使用してネットワーク内を横方向に移動し、より多くのマシンに感染できるようにします。
最後に、Maze は前述の「二重恐喝」戦略を先駆けて導入したという点で他のランサムウェアとは異なります。 他のランサムウェア グループも彼らの足跡をたどっていますが、Maze グループは最初にターゲット マシンからデータを盗み、そのデータを暗号化しました。
Maze ランサムウェアから身を守る方法
これまで、ランサムウェアはユーザーのファイルへのアクセスを拒否することに重点を置いていました。 これは、ファイルを暗号化し、復号化キーの身代金を要求することで実現されました。 これらの元のランサムウェアの亜種には、それらから保護するためのオプションが多数存在していました。 攻撃が完了した後に暗号化されたファイルを復元できる安全なデータ バックアップを用意するだけで、マルウェアの影響を軽減するには十分でした。
Mazeでは、バックアップからの復元だけでは不十分です。 攻撃の一環として、Mazeはデータを盗み、サイバー犯罪者は身代金が支払われない場合に公開すると脅迫します。 データ侵害のリスクとそれに伴う規制や法的罰則を排除するには、組織は被害が及ぶ前に Maze ランサムウェア攻撃を検出してブロックする必要があります。
ここでチェック・ポイントのSandBlast ネットワークとSandBlast Agentが活躍します。 SandBlast は、組織が Maze ランサムウェア攻撃のあらゆる段階に対処するのに役立ちます。
- 予防: SandBlast Network と SandBlast Agent は、組織のネットワークとエンドポイントを保護します。 これは、Maze ランサムウェアがターゲット デバイスにアクセスする前に検出してブロックするのに役立ちます。
- 検出: SandBlast Threat Hunting は、組織がネットワーク上の隠れた Maze ランサムウェア感染を検出するのに役立ちます。 これにより、損害が発生する前にマルウェアを削除できる可能性があります。
- 調査:チェック・ポイント Infinity SOC は、ネットワーク上の感染デバイスの検出に役立ちます。 これにより、Maze の拡散を阻止するために隔離され、修復と回復がサポートされます。
- リカバリ: SandBlast Forensics Report は、暗号化されたファイルの完全なリカバリをサポートしています。 SandBlast Agent は、ランサムウェアによって通常削除されるファイルの回復にコンピューターのシャドウ コピーに依存しません。
チェック・ポイントでMazeランサムウェアを防ぐ
Maze は洗練されたランサムウェアの亜種です。ただし、それは検出して倒すことが不可能であることを意味するものではありません。 チェック・ポイントは、MITRE ATT&CK フレームワークを使用した脅威ハンティングによって Maze を検出する方法を示すビデオを公開しました。
チェック・ポイントの SandBlast 製品ラインは、Maze ランサムウェア攻撃から組織を保護するのに最適です。 SandBlast Agent の無料トライアルで、チェック・ポイントのエンドポイント保護を試してみてください。 ネットワーク レベルでは、 SandBlast Network のデモンストレーションで Maze ランサムウェア防御を確認してください。
Feedback