重要インフラに対する一連のサイバー攻撃「KRITIS」が止まらないようです。 XNUMX 月の初めに、ハッキング攻撃がスイスの企業 Swissport を捕らえ、スイスでの運航を妨害しました。その後、ドイツの Oiltanking タンク ファームへのランサムウェア攻撃、ベルギーの SEA-Invest への攻撃、オランダの Evos への攻撃が続きました。 いくつかの専門家のコメント。
「サイバー攻撃者は、多くの場合、最もビジネスを混乱させる可能性がある場所を攻撃対象としています。 このようにして、被害者はシステムをオンラインに戻すために身代金を支払うことをいとわないかもしれません. このため、ランサムウェア攻撃のニュースでは、重要なインフラストラクチャ、病院、交通機関のハブ、および都市の電力網が頻繁に取り上げられています。 攻撃者は常に、自分に有利なプレッシャー状況を作り出す方法を見つけます。
攻撃者は常に新しい方法を見つけています
Lookout、セキュリティ ソリューション担当シニア マネージャー、Hendrik Schless (画像: Lookout)。
ランサムウェアは新しい脅威ではありませんが、攻撃者が企業のインフラストラクチャに侵入し、リソースを凍結または盗むために使用する戦術は急速に進化しています。 数年前、攻撃者はブルート フォース戦術を使用して企業の小さな脆弱性を見つけ、それを悪用してインフラストラクチャを乗っ取っていました。 今日、サイバー犯罪者がインフラストラクチャに侵入するためのステルスな方法ははるかに多くあります。 多くの場合、彼らは従業員のアカウントを侵害して、疑いを持たない正当な資格情報でログインする方法を見つけ出します。
クレデンシャルは、モバイル デバイスに対するフィッシング攻撃によって盗まれることがよくあります。 スマートフォンやタブレットでは、SMS、サードパーティのチャット プラットフォーム、ソーシャル メディア アプリを介して、攻撃者がソーシャル エンジニアリングに関与する機会が無数にあります。 エンドポイントを保護するだけでなく、組織はクラウドおよびプライベート アプリケーション内のアクセスとアクションを動的に保護できる必要もあります。 ここで、ゼロ トラスト ネットワーク アクセス (ZTNA) とクラウド アクセス セキュリティ ブローカー (CASB) ソリューションの出番です。 ユーザー、デバイス、ネットワーク、およびデータ間の相互作用を理解することで、組織は、ランサムウェアまたは大規模なデータ流出を示す侵害の主要な指標を特定できます。 従業員のモバイル デバイスだけでなく、クラウド アプリケーションや個人用アプリケーションも一緒に保護することで、企業はゼロ トラストの哲学に基づいて強固なセキュリティ体制を構築することができます。」
Hendrik Schless 氏、セキュリティ プロバイダーのセキュリティ ソリューション担当シニア マネージャー 外を見る
ビジネスモデルのランサムウェアは引き続き収益を上げています
Vectra AI、Fabian Gentinetta (画像: Vectra AI)。
「ランサムウェアは、利益のためにサイバー攻撃を行うグループの中で支配的なビジネス モデルです。 最近の一連の攻撃で私たちが目にしているのは、限られた法執行機関では問題が解決されず、一夜にして解決されることはないということです。 しかし、Swissport は、運用能力への最小限の損害で攻撃を封じ込めたようです。これは、ランサムウェアが全か無かの策略ではないという事実を物語っています。もっと見ることを願っています。
ネットワークから攻撃者を検出して排除することは、多くの組織で日常的な運用タスクになりつつあります。 暗号化の前に攻撃は阻止されませんでしたが、Swissport は攻撃を迅速に封じ込め、被害を限定することに成功したようです。 特に重要なインフラストラクチャにとって最も重要なのは、Swissport が印象的に実証したように、高速で機能するバックアップ プロセスです。」
Cyber Security Expert の Fabian Gentinetta 氏 ベクトラAI
ランサムウェアによる被害は計り知れない
「私たちは、ランサムウェア攻撃がビジネスのダウン時にもたらす損害を目の当たりにしてきました。これは、サプライ チェーンに影響を与え、市民の生活に影響を与えます。 ドイツの Oiltanking、ベルギーの SEA-Invest、オランダの Evos、および Swissport に対する最近の攻撃は懸念材料ですが、国家による組織的な攻撃の話は時期尚早です。 最も可能性の高いシナリオは、攻撃者が同様の標的を含むデータベースを操作しており、その努力で的を射ているというものです。
攻撃の詳細を解明するには数か月かかる場合がありますが、最初の報告によると、新しい BlackMatter ブランドであると考えられている BlackCat が、ヨーロッパ全土の燃料産業への攻撃に関与している可能性があります。 今週の別のケースでは、KP Foods もランサムウェアの犠牲になり、Conti が機能停止の責任を負いました。 これら XNUMX つのハッカー グループについてわかっていることは、彼らがサービスとしてのランサムウェア (RaaS) ビジネス モデルを運用しているということです。 これは、被害者データベースと多数のパートナーによる組織犯罪であることを意味します。 これらは特定のランサムウェア グループに結び付くことはありませんが、多くの場合、複数のグループと連携し、強力なボットを使用してマルウェアの拡散を自動化します。
Tenable の EMEA テクニカル ディレクター兼セキュリティ ストラテジストである Bernard Montel (画像: Tenable)。
ボットは効果を増幅します
被害者の観点からは、誰が責任を負っているのかは実際には関係ありません。特に、これはおそらく数か月以内に判明するだけなので. ただし、重要な問題は、攻撃がどのように行われたかです。 ほとんどの場合、BlackMatter と Conti の場合と同様に、マルウェアがインフラストラクチャに侵入してシステムを暗号化できる既知の脆弱性です。 BlackMatter は、リモート デスクトップ ソフトウェアを標的にし、以前に侵害された資格情報を悪用することで知られています。一方、Conti は、Zerologon (CVE-2020-1472)、PrintNightmare (CVE-2021-1675、CVE-2021-34527)、EternalBlue (CVE) などの脆弱性を悪用することで知られています。 -2017-0143、CVE-2017-0148)。 もう XNUMX つの攻撃手段は、Active Directory の構成ミスを悪用することであり、Conti と BlackMatter の両方がこの戦術を使用することが知られています。
組織は、基本的なセキュリティ原則によって、ランサムウェア攻撃の経路を大幅にブロックできることを認識しておく必要があります。 セキュリティ チームは、クラウドとコンバージド インフラストラクチャに対して適切な可視性、セキュリティ、および制御を提供するソリューションを展開する必要があります。 私はビジネスに呼びかけます: 機能するために依存している重要なシステムを特定します。 これらのシステムに影響を与える脆弱性を特定し、リスクにパッチを適用するか修復するための措置を講じます。 また、攻撃者が権限を昇格させ、インフラストラクチャにさらに侵入することを可能にする Active Directory の過剰な権限に注意してください。 これらの基本的な対策が講じられていない場合、会社は脆弱であり、誰が攻撃しても混乱のリスクがあります。」
EMEA テクニカル ディレクター兼セキュリティ ストラテジスト、Bernard Montel 氏 テナブル