最近のランサムウェア攻撃

ランサムウェア攻撃の進化

ランサムウェアの背後にある理論は非常に単純で、ランサムウェアの亜種ごとに大きな違いはありません。 しかし、サイバー犯罪者によるランサムウェアの使用方法は、グループや攻撃キャンペーンによって大きく異なる可能性があり、過去数年間で大きく進化しています。

2021年のランサムウェア攻撃

Checkpoint Researchによると、2021年上半期にランサムウェアの影響を受けた組織の数は、2020年と比較して2倍以上に増加しており、2021年4月初旬以降、最も標的にされたセクターはヘルスケアおよび公益事業セクターとなっています。

2020年の二重恐喝の成功は、特にCovid-19パンデミックの発生以来、明らかです。 すべての事例とその結果が報告され、公表されているわけではありませんが、2020年から2021年の間に収集された統計は、攻撃ベクトルの重要性を示しています。 平均身代金価格は昨年 171% 上昇し、約 310,000 ドルに達しました。

2020年末から2021年初頭にかけて発生したランサムウェア攻撃は、新たな攻撃チェーン、つまり二重恐喝ランサムウェアのアプローチを拡大し、そのプロセスに独自の脅威である「トリプル恐喝攻撃」を組み込んだものです

2021年の有名な攻撃 - Microsoft Exchangeのハッキング、コロニアルパイプラインネットワーク、タルサ市、JBSミートカンパニー、富士フイルム

2020年のランサムウェア攻撃

2019年後半から2020年初頭にかけて、ランサムウェア攻撃に新たなトレンドが出現しました。 ランサムウェアの作成者は、被害者のファイルの暗号化に限定する代わりに、標的から機密データを盗み始めました。 ユーザーデータを盗むランサムウェアの亜種 には、Ako、CL0P、DoppelPaymer、 Maze、Pysa、Nefilim、Nemty、Netwalker、Ragnarlocker、REvil、Sekhmet、Snatchなどがあります。

この動きは、ランサムウェア感染の被害に遭った後、身代金要求の支払いを拒否した組織に対応したものです。 ランサムウェア攻撃を修復するためのコストは、要求された身代金よりも高くなることがよくありますが、サイバー犯罪者が活動を継続し、追加の攻撃を実行できるようになるため、身代金を支払うべきではないとベストプラクティスでは判断されています。

ランサムウェアのオペレーターは、感染したコンピューターからデータを暗号化する前に盗むことで、被害者が身代金の支払いを拒否した場合、このデータを公開すると脅迫する可能性があります。 収集および漏洩するデータの種類によっては、組織が市場での競争上の優位性を失ったり、一般データ保護規則(GDPR)などのデータ保護法に抵触したりする可能性があります。

2019年のランサムウェア攻撃

2019年は、ランサムウェアオペレーターが重要な機関に焦点を切り替えた年として有名です。 2019 年の最初の 3 四半期だけでも、 米国の 621 を超える病院、学校、都市 が Ryuk やその他のランサムウェアの亜種によるランサムウェア攻撃の被害に遭いました。 これらの攻撃は数億ドルの推定値札を付け、その結果、都市は住民にサービスを提供できなくなり、病院は患者に救命救急を提供するために不要不急の処置をキャンセルすることを余儀なくされました。

ランサムウェアに対するこの新しいアプローチは、これらの組織が提供するサービスの重要性を利用しました。 攻撃から回復しながら、悪化した業務を乗り切ることができた一部の企業とは異なり、都市、学校、病院はできるだけ早く業務を復旧する必要があり、多くの場合、緊急資金にアクセスできました。 その結果、これらの組織に対するランサムウェア攻撃はしばしば成功し、発生し続けています。

1. Ryuk - 2019年1月

ランダムな個人や企業を標的とするほとんどのランサムウェア攻撃とは異なり、 Ryukランサムウェア は高度に標的を絞った攻撃でした。 この作戦の背後にいるサイバー犯罪者は、わずかなダウンタイムでもビジネスに大きな支障をきたす被害者を標的にしていました。

Ryukは、個人のデータを盗んだり侵害したりするのではなく、会社のサーバーを暗号化し、身代金が支払われるまでビジネスを混乱させるように設計されています。

リュークのターゲット

標的となった被害者には、トリビューン紙を含む新聞社と、ノースカロライナ州の水道会社が含まれていました。 影響を受けた新聞は、有料の求人広告を含まない日刊ニュースの縮小版を制作しなければならなかった。

詳細

Ryukは、TrickBotと呼ばれるマルウェアとリモートデスクトップソフトウェアを介してシステムに感染しました。 サーバーへのアクセスをブロックした後、Ryukは15〜50ビットコイン(約100,000ドルから500,000ドル)を要求しました。

Ryukは、サーバーの無効化、エンドポイントの感染、バックアップの暗号化に加えて、Windows OSシステムの復元オプションを無効にして、被害者が攻撃から回復できないようにしました。

マルウェアが発見されたとき、攻撃を阻止するためのパッチが作成されましたが、それらは保持されませんでした。 サーバーがオンラインに戻った瞬間、Ryukはサーバーのネットワーク全体に再感染し始めました。

マカフィーの専門家は、RyukはLazarus Groupと名乗る北朝鮮のハッカーグループから発信されたコードを使用して構築されたのではないかと疑っています。 ただし、ランサムウェアを実行するには、コンピューターの言語をロシア語、ベラルーシ語、またはウクライナ語に設定する必要がありました。

2. PureLocker - 2020年現在有効

Ryukと同様に、PureLockerは サーバー全体を暗号化 し、アクセスを復元するために身代金を要求するように設計されています。 このマルウェアは、サンドボックス環境で悪意のある動作を隠し、通常の機能を模倣することで、検出されないように特別に設計されています。 また、悪意のあるコードが実行された後に自身も削除されます。

PureLockerのターゲット

PureLockerは、攻撃者が多額の身代金を支払うと思われる大企業のサーバーを標的にしました。

詳細

徹底的な分析の結果、IntezerとIBM X-Forceの暗号研究者は、このランサムウェアがPureBasicプログラミング言語で記述されていることから、このランサムウェアをPureLockerと名付けました。

PureBasicでマルウェアを作成するのは珍しいことですが、PureBasicで書かれた悪意のあるソフトウェアを検出するのが難しいという大きな利点を攻撃者に与えました。 PureBasicプログラムは、さまざまなプラットフォームでも簡単に使用できます。

PureLockerは、大規模なサイバー犯罪組織によって現在も実行されています。 専門家は、PureLockerは、大企業を標的にするために必要な知識を持つサイバー犯罪組織にサービスとして販売されていると考えています。 不思議なことに、ランサムウェア・アズ・ア・サービス(RaaS)は今や「モノ」です。

サイバーセキュリティの専門家は、PureLockerがどのようにサーバーに侵入しているのか正確にはわかっていません。ネットワークセキュリティにゼロトラストアプローチを採用することは、未知の脅威から保護するための最良の方法です。

3. REvil/ ソディノキビ - 2019年4月

REvilはGandCrabと呼ばれるマルウェアで、ロシア、シリア、その他の近隣諸国では実行されません。 これは、その発生元がその地域からのものであることを示しています。

PureLockerと同様に、REvilはランサムウェア・アズ・ア・サービス(Ransomware-as-a-Service)であると考えられており、セキュリティ専門家は、2019年に確認されたランサムウェアの最悪の事例の1つであると述べています。

なぜREvilはそんなに悪いのですか? ほとんどのランサムウェア攻撃では、身代金の要求を無視して損失をカットできます。 しかし、攻撃の背後にいる人々は、身代金が支払われない場合、暗号化した機密データを公開して販売すると脅迫しました。

REvilが目指すもの

2019年9月、REvilはテキサス州の少なくとも22の小さな町を閉鎖しました。 3か月後の大晦日、REvilは英国の両替業者であるTravelexを閉鎖しました。

トラベレックスがダウンしたとき、空港の取引所は昔ながらのやり方で、交換を文書化するための紙の台帳を作成しなければなりませんでした。 サイバー犯罪者は600万ドルの身代金を要求しましたが、トラベレックスはこの金額の支払いを肯定も否定もしていません。

詳細

REvilは、Oracle WebLogicサーバーとpulse Connect Secure VPNの脆弱性を悪用します。

4. ジョージア州ジェファーソン郡 - 2019年3月1日

2019 年 3 月 1 日、ランサムウェアがジェファーソン郡の 911 ディスパッチ センターを攻撃し、オフラインにしました。 郡刑務所の職員も独房のドアを遠隔で開けることができなくなり、警察官はノートパソコンからナンバープレートのデータを取り出せなくなりました。

911システムが機能しなかったため、街全体がこのランサムウェア攻撃の二次的影響に対して脆弱なままでした。 ディスパッチャーは 2 週間、コンピューターにアクセスできませんでした。

受刑者が家族とつながるためのビデオ会議システムもダウンしました。 看守は受刑者を家族訪問に付き添わなければならず、安全に対するリスクが高まっていました。

市は40万ドルの身代金を支払い、システムを復旧させることができました。

5.ロビンフッド-2019

2019 年 4 月 10 日、ノースカロライナ州グリーンビル市が RobinHood という名前のランサムウェアに攻撃されました。 市のサーバーのほとんどがオフラインになったとき、市のITチームは被害を軽減するために残りのサーバーをオフラインにしました。

ロビンフッドが攻撃を仕掛けたのは、この攻撃が初めてではなかった。 2019年5月、ボルチモア市は大きな打撃を受けました。 市は、ロビンフッドの攻撃から回復するために1,000万ドル以上を費やす必要がありました。 身代金はわずか7万6000ドルだったが、データの復旧には460万ドルかかり、市のすべてのシステムが1か月間機能しなくなった。 市は1800万ドルの損害を被った。

2018年のランサムウェア攻撃

2018年、暗号通貨の価値の上昇によりクリプトジャッキングが急増したため、ランサムウェアの人気が低下しました。 クリプトジャッキングマルウェアは、ターゲットコンピューターに感染し、それを使用して、ビットコインやその他のプルーフオブワーク(PoW)暗号通貨を「マイニング」し、有効なブロックを見つけることに関連する報酬を受け取るために必要な計算負荷の高い手順を実行するように設計されています。

しかし、2018年にランサムウェアがまったく活動していなかったわけではありません。 2018年8月、Ryukランサムウェア(今日の主要なランサムウェアの脅威の1つ)が初めて「野放し」で発見されました。 Ryukの出現は、ランサムウェアオペレーターの収益方法の変化の一環でした。 WannaCryのような攻撃は、質より量を標的とし、できるだけ多くの被害者を攻撃し、それぞれに少額の身代金を要求しました。 しかし、このアプローチは、平均的な人が暗号通貨で身代金を支払うノウハウを欠いていたため、必ずしも利益を生むものではありませんでした。 その結果、ランサムウェアのオペレーターは、支払いを受けるためにかなりの量の「顧客サービス」を提供する必要がありました。

2018年以降、ランサムウェアのオペレーターは標的の選択においてより選択的になっています。 サイバー犯罪者は、特定の企業を攻撃することで、マルウェアによって暗号化されたデータが価値があり、ターゲットが身代金を支払うことができる可能性を高めることができます。 これにより、ランサムウェアのオペレーターは、支払いを合理的に期待して、被害者ごとにより高い価格を要求することができました。

2017年のランサムウェア攻撃

2017年は、ランサムウェアが本格的に世間の注目を集めた年でした。 ランサムウェアは何十年も前から存在していましたが、2017年のWannaCry攻撃とNotPetya攻撃により、このタイプのマルウェアは一般的に知られるようになりました。 これらのランサムウェアの亜種は、他のサイバー犯罪者やマルウェア作成者がランサムウェアの分野に参入するきっかけにもなりました。

WannaCryは、NSAが開発したEternalBlueエクスプロイトを使用して、コンピューターからコンピューターへと拡散するランサムウェアワームです。 WannaCryは3日間で20万台以上のコンピュータに感染し、数十億ドルの損害を与えたが、内蔵の「キルスイッチ」を標的にしたセキュリティ研究者によって攻撃が終了しました。

NotPetyaは、実際にはランサムウェアではなく、ランサムウェアを装ったワイパーマルウェアである有名な亜種の一例です。 被害者に身代金の支払いを要求しましたが、マルウェアのコードには、マルウェアのオペレーターに復号化キーを提供する方法がありませんでした。 彼らは鍵を持っていなかったため、被害者に鍵を提供することができず、暗号化されたファイルの回復を不可能にしました。

ランサムウェアからの保護

ランサムウェアは、サイバー犯罪者にとって非常に効果的なツールであることが証明されています。 データにアクセスできなくなったことで、多くの組織が多額の身代金を支払ってデータを取得するようになりました。 ランサムウェアの成功は、ランサムウェアが組織のサイバーセキュリティに対する脅威としてなくなる可能性が低いことを意味します。 この有害なマルウェアから保護するには、専用の ランサムウェア対策ソリューションを導入する必要があります。