ランサムウェアは時間の経過とともに進化しました。 Colonial Pipeline ランサムウェア攻撃は、高レベルの被害者に対する新たな攻撃の一部にすぎません。 トレンドマイクロのグローバル脅威コミュニケーション担当ディレクター、ジョン・クレイ氏のコメント。
米国最大級のガソリンパイプラインへのサイバー攻撃を受け、操業が一時停止された。 悪意のある攻撃者は、可能な限り高額の恐喝料金を求めるため、業務を妨害した場合に、より積極的に支払いを行う組織をターゲットにします。 これは以前にも政府や教育部門の被害者で観察されていました。 犯罪者が組織に与える苦痛が大きければ大きいほど、被害者が賠償金を支払う可能性が高くなります。 企業は何ができるのでしょうか?
ランサムウェア攻撃は多くの段階を経て、現在はフェーズ 4 を観察しています。
第 1 フェーズ: 単なるランサムウェアで、ファイルが暗号化されてから身代金メモが作成され、ビットコインでの支払いを待ちます。
第 2 フェーズ: 二重恐喝。 フェーズ 1 + データの漏洩と開示の脅威。 Maze はこれを行う最初のランサムウェアであり、他のグループの攻撃者もこれに続きました。
第 3 フェーズ: 三重恐喝。 フェーズ 1 + フェーズ 2 と DDoS の脅威。 アバドンは記録に残る最初の事件だった。
第 4 フェーズ: 四重脅迫。 フェーズ 1 + (おそらくフェーズ 2 またはフェーズ 3) + 被害者の顧客ベースへのダイレクト メール。 Cl0p は最初にこの方法で使用されたと Brian Krebs が説明しました。
現在は二重恐喝がほとんどですが、重要なビジネス システムを標的とする傾向が見られます。 この最近の米国のケースでは、OT システムは影響を受けていないようですが、ネットワークに接続されている IT システムが標的になった可能性があります。 ただし、多くの組織は業務に不可欠な OT ネットワークを所有しており、そのため標的になる可能性があるため、この状況は変わる可能性があります。 製造会社が最新のランサムウェアでどのように攻撃され、その影響がどのようなものであるかについてはすでに概説しました。
企業への影響
企業の日常業務を制御するシステムに障害が発生すると、財務上および評判上の損害を引き起こす可能性があります。 しかし、攻撃のターゲットがあまりにも目立つことによって、意図しない結果を招く可能性もあり、コロニアル パイプライン攻撃はその一例である可能性があります。 国の重要なインフラの重要な部分を破壊することは、たとえその動機が金銭的利益「だけ」であっても、攻撃の背後にいる者に対する厳しい行動につながる可能性があります。 そのため、将来的には、悪意のある攻撃者は、ターゲットに対する攻撃の潜在的な影響を評価し、攻撃を開始することがビジネス上意味があるかどうかを判断する必要があるかもしれません。
適切な対策
ランサムウェアは今後も使用され続けるでしょう。 したがって、組織は時間をかけて、新しいモデルのランサムウェア攻撃に対処するインシデント対応計画を作成する必要があります。 いくつかの点を考慮する必要があります。
- あなたのビジネスが被害者になる可能性があることを受け入れてください。 どの組織も潜在的に悪意のある攻撃者に監視される可能性がありますが、重要なインフラストラクチャで運用されている組織は、攻撃を受ける可能性を評価する必要があります。
- Access-as-a-Service は現在、定期的に使用されています。 この場合、通常は別のグループが最初のアクセスを実行し、それを別のグループに販売します。 決意の強い攻撃者は、フィッシング、インターネットに公開されている脆弱なシステム、サプライ チェーン攻撃など、ネットワークへの侵入を常に見つけます。
- 正規のツールの悪意のある使用は、攻撃サイクル全体で最も一般的な戦術の XNUMX つです。
- 重要な管理者とアプリケーションのアカウント資格情報が標的となります。
- ランサムウェア攻撃者は、二重の脅迫に適していると思われるデータを吸い上げようとします。
- ランサムウェア コンポーネントは、攻撃サイクルの中で最も目に見える部分であり、システムが侵害されたことを被害者に示すため、悪意のあるアクティビティの最後の選択肢となります。
OT ネットワークを運用している企業は、次の点を考慮する必要があります。
- OT ネットワークがダウンした場合のリスクを理解します。
- OT ネットワーク内のデバイス、特にセキュリティ エージェントをサポートしていないデバイスのセキュリティ モデルをセットアップします。
- ネットワークのセグメント化は重要です。
- IT ネットワークの侵害により OT ネットワークをシャットダウンする必要がある場合は、この制限を克服する方法を検討する必要があります。
この最新の攻撃は、すべての組織が攻撃に対してネットワークを強化し、悪意のある攻撃者がネットワーク上に存在する場合の認識を高めるよう、新たな警鐘を鳴らしています。 弊社では、多層サイバーセキュリティ プラットフォームである Trend Micro Vision One を導入しており、最新のランサムウェア攻撃の検出と対応を改善し、可視性を高めることができます。