ソフォスは脅威対応チームを管理し、REvil ランサムウェアに真っ向から立ち向かいました。 特定のケースでは、サイバー犯罪者がどのように機能したか、Managed Threat Response (MTR) チームが最終的に優位に立った方法、および企業がインシデントから学ぶべき教訓を示しています。
他の多くのランサムウェア ファミリーと同様に、サイバー犯罪者は REvil ランサムウェアを使用してデータを盗み、暗号化して、可能な限り高額の身代金を要求します。 ただし、REvil を特別なものにしているのは、ランサムウェアを利用できるようにする方法です。 通常のビジネスであるかのように、メーカーは自社の「製品」をリース可能なサービスとして提供しています。これは、サイバー犯罪者のビジネスが何百万ドルもの価値があることを示しています。
REvil 攻撃: 2 万ドルの身代金
脅迫者が 600 万ドル以上の身代金を要求したメディア企業の現在の例は、攻撃がどのように機能し、犯罪者が効果的に対抗できるかを示しています。 25 時間 24 日稼働する 7 台のサーバーと 19 つの Active Directory ドメインを含む、約 XNUMX 台のネットワーク デバイスを使用するこの会社は、COVID-XNUMX の波の後、日常業務の多くをリモート オフィスに移すことを余儀なくされました。 外部ワークステーションがネットワークに接続され、インターネット接続が調整されました。これは、必要な要件に関してすべて善意の行動でした。 しかし、それは REvil 攻撃への扉を開きました。
ネットワークに侵入した犯罪者は、保護されていないデバイスやその他のオンライン システムに侵入し、攻撃ツールをインストールして、それらを使用して攻撃をより多くのデバイスに拡大しました。
即応力
Sophos Rapid Response Team が犯罪現場の徹底的な調査を行うために呼び出されたとき、REvil の攻撃者がすでに多数のアカウントを侵害しており、保護されていないコンピュータ間を自由に移動していることがすぐに明らかになりました。 アプリケーションを詳しく調べたところ、130 のエンドポイントに Screen Connect 130 ソフトウェアが装備されていることがわかりました。このソフトウェアは、リモート オフィスのコラボレーション ツールとしてよく使用されます。 実際、同社はこれらのインストールに気づいていなかったことから、攻撃者が犯罪目的で他のさまざまなプログラムと一緒にこのツールをインストールしたことが示唆されました。
打撃の直接交換
攻撃者がネットワークを深く掘り下げ始めると、攻撃者は検出されてブロックされる可能性が高いこと、および MTR チームが彼らを追跡していることを知りました。 彼らは、行動ベースの検出ツールが彼らを追跡するために使用されていること、CryptoGuard が暗号化を検出してブロックすることを知っていました。 次に攻撃者は、ランサムウェアを実行するために、保護されていない他のエンドポイントに侵入しようとしました。
MTR チームと攻撃者との間の直接的な打撃のやり取りは、通常よりも激しく複雑でした。メディア企業は、24 時間年中無休のシステムと伝送を維持するためにほとんどのサーバーをオンラインに保つ必要があったからです。 やがて、ラッシュは衰え始めました。 7 日目には、散発的な攻撃が依然として発見されていましたが、主な攻撃の試みが終了し、失敗したことは明らかでした。 この戦いの勝者は明らかでした。MTR チームです。
貸借対照表と洞察
それはかなり悪化していた可能性があります。 IT セキュリティ チームは、被害が保護されていないデバイスとドメインにほとんど限定されていることを発見しました。 以前はエア ギャップ (ネットワーク セキュリティ オプション) によって保護されていたオンライン ドメインは完全に破壊され、再構築する必要があり、オンライン バックアップも削除されました。麻痺し、法外な身代金を支払う必要もありませんでした。
「ほとんどの場合、私たちが呼ばれた時点で攻撃はすでに行われています。 その後、封じ込め、無力化、調査を支援できます」と Sophos Rapid Response マネージャの Peter Mackenzie は言います。 「今回のケースでは、私たちは支援を求められ、攻撃の最終段階が展開されたときに手元にいました。攻撃者の当初の決意と、その後の不満の高まりの両方を見ることができました。 そして、彼らは私たちに対して利用可能なすべての武器を使用し、可能な限り多くの方向から発砲しました。」
特に重要な XNUMX つの発見
XNUMX つ目は、リスク管理に関するものです。 この企業の場合のように、ネットワークをエアギャップからオンラインに移行するなど、企業が環境に変更を加えると、リスクが変化します。 IT セキュリティ チームが特定して排除する必要がある新しい脆弱性が出現しています。
XNUMX つ目の調査結果は、データ保護に関するものです。 この攻撃で侵害された最初のアカウントは、IT チームのメンバーのものでした。 すべてのデータが消去されました。 これは、次のような貴重な情報を意味します。 B. フォレンジック分析と調査に使用された可能性のある最初の侵入の詳細が失われました。 より多くの情報がそのまま残されているほど、何が起こったのかを理解しやすくなり、二度と起こらないようにすることが容易になります.
ソフォスについて ソフォスは、100 か国の 150 億人を超えるユーザーから信頼されています。 複雑な IT の脅威とデータ損失に対する最高の保護を提供します。 当社の包括的なセキュリティ ソリューションは、導入、使用、管理が簡単です。 業界で最も低い総所有コストを提供します。 ソフォスは、受賞歴のある暗号化ソリューション、エンドポイント、ネットワーク、モバイル デバイス、電子メール、および Web 向けのセキュリティ ソリューションを提供しています。 また、独自の分析センターのグローバル ネットワークである SophosLabs からのサポートもあります。 ソフォスの本社は、米国のボストンと英国のオックスフォードにあります。