怠慢な企業はすぐに XNUMX つの罰を受けます。最初はランサムウェアによる恐喝、次にデータの損失、そして最後になりましたが、不十分な復旧計画に対する違約金です。 これが、複雑なランサムウェアが企業のリソースに侵入する方法です。
昨年、ランサムウェアは、燃料を生産する米国企業を倒産させました。 この背後には、悪名高い DarkSide グループの犯罪「パートナー企業」がありました。 RaaS (サービスとしてのランサムウェア) 攻撃の典型的な例: 犯罪者の小さなコア チームがマルウェアを開発し、他の悪者が利用できるようにし、被害者の身代金を処理します。 ただし、マルウェアを配布するネットワーク上で実際の攻撃を実行するわけではありません。 彼らの「犯罪のパートナー」はいわばフィールドスタッフの世話をします。 原則として、彼らは被害者から強要された金の大部分を受け取る。
RaaS: ランサムウェアによる犯罪のパートナー
一方、コア グループはバックグラウンドで目に見えないように潜んでおり、一種のフランチャイズ オペレーションを実行しており、通常はすべての支払いの 30% をポケットに入れています (彼ら自身も認めています)。
最前線のチームは通常これを行います
- 侵入する可能性のあるターゲットを見つけるために調査を実施します。
- 既知の脆弱性を持つ選択された企業に侵入します。
- 正式な管理者のレベルに到達するための管理者権限を取得するまで、ネットワークをスキャンします。
- ネットワーク全体をマッピングして、個々のデスクトップ PC とサーバー システムを見つけます。
- 既存のバックアップを見つけて、頻繁に無力化します。
- 企業の機密データを盗み出し、脅迫にさらに活用します。
- 攻撃者が捕まった場合に迅速に退却できるように、ネットワーク バックドアを準備します。
- 既存のマルウェア防御を慎重に調べて、脆弱な点や脆弱な点を探します。
- 邪魔になるセキュリティ設定をオフにするか、少なくとも減らします。
- 会社にとって特に「不快な」時間帯、つまり週末や夜間の選択。
そして、サイバー犯罪者は、舞台裏で首謀者によって提供されたランサムウェア コードを解き放ちます。 ネットワーク内の (ほぼ) すべてのコンピュータの暗号化には数分しかかかりません。
ランサムウェア: チェックアウトしてください!
このタイプの攻撃の背後にある考え方は、コンピューターが完全に消去されないということです。 実際、ほとんどのランサムウェア攻撃の後、オペレーティング システムは、すべてが正常であるかのように見せるために、コンピュータの起動と主要なアプリケーションのロードを続けます。
被害者はラップトップを起動し、Word をロードし、ディレクトリ内のすべてのドキュメントを表示し、それらを開こうとすることさえできますが、キャベツの千切りに相当するデジタル版が表示されます。 データは暗号化されており、復号化キーのコピーは XNUMX つしかなく、攻撃者はそれを持っています。 これは通常、「交渉」が始まるときです。 犯罪者は、被害者の IT インフラストラクチャが暗号化されたデータによって深刻な影響を受け、もはや機能していないという事実に依存しています。
「『復旧料金』をお支払いいただければ、コンピュータを再び使用できるようにするための復号化ツールを提供します。また、バックアップからの復元にかかる時間を節約します。 たとえば、約 12 か月前に米国の会社に届いた要求は、次のように聞こえます。
すべてのデータを取り戻すことができるのは、支払者の 4% だけです。
世界中の法執行機関は、ランサムウェアの被害者に支払いをしないよう警告しています (そして、今日のランサムウェアの支払いが、明日のランサムウェア攻撃に資金を提供していることがわかっています)。
今年の ソフォス ランサムウェア レポート 2022 年のランサムウェアの状況 世界中の支払者の 4% だけがすべてのデータを取り戻していることが明らかになりました。 平均して、60,56 分の 64 しか得られません (正確には 62%)。 ドイツでは、その割合は 61,59% です。 グローバルな観点から見ると、この値はエネルギー供給会社の XNUMX% (正確には XNUMX%) でわずかに高くなります。 これは、企業が身代金を支払った場合でも、非常に多くのデータ損失を受け入れる必要があることを意味します. 事件がそこで終わることは決してありません。
身代金の後に罰金が科せられた
Sophos State of Ransomware 2022 (画像: Sophos)。
パイプラインの運営者に対しても公式の控訴が行われました。米国運輸省は、パイプラインおよび危険物安全管理局 (PHMSA) による調査の結果、会社に約 1 万米ドルの民事罰を課しました。 チェックは 2020 年 85 月から 846,300 月の間に実行されました。つまり、ランサムウェア攻撃が発生する前の年です。 したがって、研究所が特定した問題は存在し、知られていた. PHMSA は、料金 (2021 ドル) の XNUMX% 以上を占める主な運用上の欠陥は、「パイプライン システムの手動シャットダウンと再起動を適切に計画および準備できていない可能性が高い」と述べています。 そして彼女は、これらの省略が「XNUMX 年 XNUMX 月のサイバー攻撃の後、パイプラインが機能しないままだったときに、国全体に影響を与えた」と主張しています。
個々のケースまたはすべての人に推奨される行動方針は?
誰が実際にパイプラインを運用しているのか、そしてこの次元においても同様であるため、一見、これは異常なケースのように思えます。 とはいえ、PHMSA による漏洩の可能性に関する公式の通知では、すべての人が学ぶべきいくつかの関連する問題が特定されています。
パイプライン オペレーターにとって、問題は監視制御とデータ取得、産業用制御システム、運用技術、いわゆる SCADA (Supervisory Control and Data Acquisition): 自動的に監視および制御するコンピューター システムなど、会社の内部領域にありました。技術プロセスとエネルギー供給業者から空港までのプロセスが使用されています。 ICS (Industrial Control Systems の頭字語) と OT (Operational Technology) も不足していました。 OT は IT の産業上の対応物として理解できますが、SecOps (セキュリティ オペレーション) は両方のタイプにとって同様の課題です。
SecOps エラーの結果
運用テクノロジと IT 機能は XNUMX つの別個のネットワークのように見えますが、XNUMX つの領域での SecOps の失敗の結果として、他の領域に直接、さらには危険な影響を与える可能性さえあります。
さらに重要なことは、特に多くの中小企業では、パイプライン、送電網、または発電所が稼働していなくても、セキュリティ カメラ、ドアロック、モーション センサーなどの IoT デバイスで構成される何らかの運用エンジニアリング ネットワークが稼働している可能性が高いことです。センサー、そしておそらくレセプションエリアにある心地よいコンピューター制御の水族館です。
そして、これらは通常、IT システム全体が配置されている同じネットワークで運用されます。 このように、両方のタイプのデバイスのサイバー セキュリティ対策は、密接に絡み合っています。
すべての企業が真剣に取り組むべきXNUMXつのポイント
PHMSA のレポートには、制御室管理という包括的な用語に分類されるすべての問題がリストされています。これは、IT 部門のネットワーク オペレーション センター (または小規模企業の単に「IT チーム」) に相当する運用技術と考えることができます。
要約すると、これらの XNUMX つの問題が危機に瀕しています。
- 合格した運用テストの適切な記録を保持しない。
- アラームおよび異常検出器の動作のテストおよび検証の失敗。
- システム障害が発生した場合に手動で復旧および操作するための緊急時対応計画はありません。
- バックアップのプロセスと手順をテストしていない。
- 欠落している、または一時的に抑制されているセキュリティ制御の不十分な報告。
IT セキュリティに関して、このことから何を学べるでしょうか?
上記の省略は、偶発的に発生する可能性があります。 Sophos Ransomware Report 2022 によると、調査対象者の 66 分の 75 (正確には XNUMX%) が、過去 XNUMX 年間にランサムウェア攻撃の被害に遭ったことがあると述べています。 エネルギー供給部門は平均をはるかに上回る XNUMX% でした。 それらの約 XNUMX 分の XNUMX はデータを暗号化し、半分は犯罪者と交渉しました。
これは、かなりの割合 (XNUMX 人に XNUMX 人強) の IT チームまたは SecOps チームが、上記のカテゴリの XNUMX つまたは複数を把握できていないことを示しています。
これらには、項目 1 と 2 (バックアップが実際に機能したか? これを正式に記録しましたか?)、項目 3 (犯罪者がプライマリ バックアップを削除した場合の計画 B は何ですか?)、項目 4 (慎重に復元を練習しましたか?) が含まれます。バックアップを練習したとき?) とポイント 5 (その時点で指摘すべきことを見逃していなかったと思いますか?)。
多くの IT チーム、または特に IT を「サイド」で行う中小企業にとって、専門の SecOps チームは贅沢であり、手頃な価格ではありません。 このような状況にある人は誰でも、外部の MTR 専門家のサポートを求め、それらをより安全な未来への投資と見なす必要があります。
サイバーセキュリティはプロセスであり、目的地ではありません。 攻撃が成功すると、必ずダメージが残り、リソースと操作性に後遺症が残ります。 衝撃の強さは、反応の速さ、予防措置、実施されている安全プロセスに大きく依存します。
詳細は Sophos.com をご覧ください