多くのサイバー攻撃者の背後には、暗い部屋にいる孤独な人だけではありません。 むしろ、一部の APT グループは、もはや自ら行動するのではなく、サービスとテクノロジーを販売し、大量に収集するだけの事業会社であると考えています。 それはお金を稼ぎ、リスクを減らします。 RaaS – Ransomware as-a-Service がどのように機能するかについて簡単に説明します。
IT では、現在、製品は主に Platform-as-a-Service (PaaS) や Infrastructure-as-a-Service (IaaS) などのサービスとして提供されています。 これらは多数のサブサービスで構成されており、これらのサブサービスは、分業と専門化の観点からさまざまなプロバイダーによって利用可能になっています。これは、サイバー犯罪者も利用する成功したコンセプトです. さまざまな攻撃者グループが、エンド ツー エンドのランサムウェア サービス全体の個々の部分を提供します。 これらのランサムウェア サービス ブロックは詳細に説明されており、さまざまな品質レベルで簡単に購入できます。
サービスとしてのランサムウェアのビジネス モデル
Ransomware-as-a-Service (RaaS) は、特にサイバー犯罪者の攻撃対象領域が大幅に増加したため、近年、専門性の高いアクターによる実際のビジネス モデルに発展しました。 2020 年には、すべてのランサムウェア攻撃の 64% が RaaS アプローチを使用して実行されたと推定されています。
リモートワークと在宅勤務のブームに伴い、保護された会社の境界の外で使用されるデバイスの数も増加しました。 さらに、クラウドベースのサービスとインフラストラクチャへの変化により、IT ランドスケープはより複雑になり、セキュリティを確保することがより困難になっています。 攻撃者は脆弱性を XNUMX つ見つけるだけで済みます。 組織はあらゆる不測の事態に対応し、最新の攻撃戦略に遅れずについていく必要があります。
RaaSは専門的なビジネスです
「近年、RaaS ビジネスは非常に専門的になっています。犯罪者のプロバイダーは、さまざまな攻撃ツールと個々の攻撃手順をサービスとして提供し、サービスを非常に重要視しています。 ツールは、攻撃を実行するためのハウツー ガイド、ベスト プラクティス、ランサムウェア戦略、さらには IT ヘルプデスクと共に提供されます」と Dr. Arctic Wolf のセキュリティ サービス EMEA ディレクター、Sebastian Schmerl 氏は次のように述べています。 「RaaS は、多くの場合、主流の SaaS 製品に期待されるようなドキュメンテーションとアーキテクチャを提供し、ステレオタイプのパーカーを着た一匹狼のポップ カルチャーの描写とはかけ離れています。」
SaaS 業界と同様に、RaaS プロバイダーにもさまざまな価格戦略があります。 XNUMX 回限りの購入として攻撃サービスを提供するものもあれば、サブスクリプションを通じて提供するものもあれば、サブスクリプションと、攻撃が成功した後に開発者に支払われる身代金の一部を組み合わせて使用するものもあります。 後者の場合、プロバイダーは非常にうるさく、一定の実績を持つ顧客とのみ連携します。 したがって、最初の収益性チェックが実行されます。
RaaS が成功した理由
暗号通貨は、RaaS の成功の重要な要素です。 ビットコインやモネロなどの通貨は追跡が難しいため、RaaS の支払いや身代金の要求に適しています。 さらに、仮想通貨は比較的簡単に「クリーン マネー」に変換できるため、手っ取り早い利益を狙う悪意のある攻撃者にとって魅力的です。
簡単に言えば、RaaS が大成功を収めているのは、ランサムウェアが強力な圧力手段であるためです。キーワードは「二重恐喝」です。IT 暗号化とデータ漏えいの脅威の組み合わせです。 さらに、データが盗まれたりブロックされたりした場合、企業はその状況で何をすべきかわからないことがよくあります。 LKA、BKA、および BSI は、身代金を支払うことが唯一の選択肢であると考えることがよくありますが、そうしないよう企業に強く勧めています。
ランサムウェアの使用は効果的な攻撃戦略であるだけでなく、RaaS サービスはアクセス、使用、適応が比較的簡単です。 攻撃者は多くの場合、ランサムウェア プラットフォームを使用して被害者とそのステータスを管理し、このプラットフォームと個々の攻撃モジュールを継続的に開発しています。 これにより、プラットフォームをさらに「スケーラブルで生産的」にする新機能を簡単に追加できます。 一部の攻撃者グループは、被害者の処理に協力し、攻撃エンジン コードを共有しています。
これが企業が自分自身を守る方法です
攻撃者は組織的で専門性が高いですが、企業はランサムウェア攻撃から身を守ることができます。 サイバー脅威から防御する上で最も重要な要素は、予防策を備えたプロアクティブなアプローチです。
- セキュリティの考え方またはセキュリティを意識した企業文化の確立: これは、サイバー衛生についての教育と、セキュリティは状況ではなく継続的なプロセスであるという認識から始まります。 脅威が変化するにつれて、脅威インテリジェンスを活用して、防御戦略とセキュリティ情報リソースを調整する必要があります。
- 脅威に対する認識を高め、フィッシング詐欺やその他の危険信号を特定する方法を従業員にトレーニングします。 ソーシャル エンジニアリング攻撃は従業員を直接狙っているため、これは特に重要です。
- より頻繁なバックアップなど、あらゆる可能性を活用してデータ セキュリティを強化します。 バックアップは、アクティブに使用されているデータと一緒に危険にさらされないように、別々の管理領域に保存する必要があります (エア ギャップ ソリューション)。
- RaaS 攻撃者は既知の脆弱性や構成エラーを悪用することが多いため、システムの定期的なパッチ適用。
- サイバー攻撃を迅速に特定し、適切なアクションを実行するための広範なセキュリティ監視。 検出と対応は、Arctic Wolf などのプロバイダーによって Managed Detection and Response (MDR) サービスとしても提供されます。
北極狼について Arctic Wolf は、セキュリティ オペレーションのグローバル リーダーであり、サイバー リスクを軽減するための初のクラウドネイティブ セキュリティ オペレーション プラットフォームを提供しています。 Arctic Wolf® Security Operations Cloud は、エンドポイント、ネットワーク、およびクラウド ソースにわたる脅威テレメトリに基づいて、世界中で 1,6 週間に 2.000 兆を超えるセキュリティ イベントを分析します。 ほぼすべてのセキュリティ ユース ケースに企業にとって重要な洞察を提供し、顧客の異種セキュリティ ソリューションを最適化します。 Arctic Wolf プラットフォームは、世界中で XNUMX を超える顧客に使用されています。 自動化された脅威の検出と対応を提供し、あらゆる規模の組織がボタンを押すだけで世界クラスのセキュリティ運用をセットアップできるようにします。