「サービスとして」の提供は、IT のあらゆる場所で見られます。 サイバー犯罪者もこのサービスのアイデアを採用し、サービスとしてのランサムウェア、略して RaaS を提供してきました。 これは、それほど高度でない攻撃者でもランサムウェア攻撃を実行できることを意味します。 攻撃回数がかなり増えます。 Arctic Wolfによる分析。
1つのように デジタル協会Bitcom eVによる調査 によると、2020/21 年には全企業の 88% がランサムウェア攻撃の影響を受けました。 リモート ワーク、ホーム オフィス、クラウド化、およびネットワーク化された IoT デバイスのブームが攻撃者の手に渡っています。これらのトレンドが攻撃対象領域を拡大し、新しいゲートウェイを提供しているためです。
このような攻撃では、サイバー犯罪者が企業システムに侵入し、特定の情報を盗んだり、暗号化したりします。 このデータを再び解読できるようにするために、身代金が要求されます。 支払いまたは回収プロセスによって引き起こされるかなりの金銭的損害に加えて、このような攻撃はまた、莫大な風評被害につながる可能性があります。 これらの攻撃の大部分(推定 64 Prozent)は、RaaS 方式を使用してすでに行われており、その傾向は高まっています。
ダークサイドからのサービス
RaaS サービスの場合、Conti、REvil、RagnarLocker などのランサムウェア グループとその分派グループおよび後継者が、適切なツールまたはプラットフォームのほか、手順、ベスト プラクティス、さらには IT ヘルプデスクなどの補足サービスを提供します。 グループ名は非常に不安定ですが、実際のアクターは同じままであることがよくあります。 彼らは非常にプロフェッショナルな態度で行動し、パーカーを着た一匹狼という一般的なハッカーの決まり文句とは何の関係もありません。 実際、評判の良い企業とほとんど見分けがつきません。最近のように、独自の人事部門、ボーナス プログラム、「今月の従業員」の賞などがあります。 ハック 示しました。
企業構造を持つサイバーギャングスター
サービスは通常、ディープ ウェブまたはダーク ウェブ経由で見つけることができます。 プロバイダーは、提供する内容が大きく異なる場合があります。 評判の良いサービス プロバイダーと同様に、RaaS ギャングも、ランサムウェアの単純な購入からサブスクリプション モデルまで、(犯罪者の) 心から望むものすべてを提供します。 プロバイダーは、価格戦略に関しても、購入時の XNUMX 回限りの支払いからリース モデルや身代金の共有まで、さまざまなモデルを提供しています。
Bitcoin、Monero、Co. などの暗号通貨は、追跡が難しく、比較的簡単に「洗浄」できるため、RaaS 攻撃の主要な成功要因です。 そのため、RaaS の支払いや身代金の要求に優れています。 暗号通貨の価格下落 多くのことが変わります。 価格の下落は、被害者との交渉段階で単純に補償されます。
深刻な事態になったらどうする?
システムの暗号化と、顧客情報、製品の詳細、財務データなどのキャプチャされたデータを公開するという脅威は、企業の存続を脅かす可能性があります。 これが RaaS を非常に魅力的なものにし、ランサムウェアをサイバー犯罪者にとって信じられないほど強力な交渉材料にしている理由です。 ランサムウェア攻撃が成功した場合、多くの企業は最初は途方にくれることがよくあります。 絶望的で無力な彼らは、多くの場合、身代金の要求を満たす以外に選択肢がありません。ただし、LKA、BKA、および BSI は、組織犯罪にさらに資金を提供し、さらなる犯罪の動機を作成しないように、身代金の要求に厳しく反対しています。 しかし、企業はどのように対応すべきでしょうか?
攻撃後、残りのカウント
博士Sebastian Schmerl 氏、セキュリティ サービス ディレクター、EMEA、Arctic Wolf
まずは冷静に! 急性発作は責任を追及する適切な時期ではありません。 むしろ、今は急いで行動するのではなく、力を合わせて取り組むときです。 関連当局にすぐに通知する必要があります(アドバイスを提供することもできます)。 企業がすでに危機管理計画を策定している場合は、それに従う必要があります。 次のステップは、状況を分析して反省し、必要な対策を開始することです。 この例外的な状況で社内のリソースと専門知識が不足している場合、企業は次のような外部のセキュリティ サービス プロバイダーの専門的な支援を求めることもできます。 ホッキョクオオカミ 頼る。
- まずは現状を明確にすることです。 これは、の実装を意味します インシデント対応- 事件のさらなる拡大を阻止するための措置。
- 現状が明確になったら、彼らは 損傷の程度 と 回復オプション 決定されます。 どのバックアップがまだ利用可能で、オフラインにする必要がありますか? どのサービスが影響を受け、どのデータが暗号化され、どのような回復アクションを実行する必要がありますか?
- これらの質問に答えたら、XNUMX 番目のステップは 脅威インテリジェンス情報 つまり、攻撃者、使用されたマルウェア、および同様のインシデントに関するすべての情報を収集します。
- XNUMX 番目のステップでは、 ビジネスケース セットアップ – 身代金の要求が満たされるべきかどうか? 会社の資本、風評被害の可能性、訴訟など、すべての側面を慎重に検討する必要があります。
- 最後の XNUMX 番目のステップでは、本題に取り掛かります。 サイバー犯罪者との交渉. ここで注意すべき点が XNUMX つあります。交渉は犯罪者と行われています。つまり、保証はありません。 とはいえ、相手に不必要に迷惑をかけないためにも、礼儀は必要です。
ランサムウェア: 予防は治療に勝る
身代金が支払われたかどうかに関係なく、将来的に会社をより良い位置に置くために、ケースは適切に処理されるべきです. したがって、攻撃後は、まずすべてのシステムを注意深くスキャンしてクリーンアップし、すべてのユーザーのログイン データを再割り当てする必要があります。 さらに、データが実際に公開されていないことを確認するために、集中的なハンティングまたはパブリック、ダーク、およびディープ Web の監視を行う必要があります。
最後になりましたが、申し訳ありませんが安全です。 「ランサムウェア攻撃に対する最善の保護は、適切な準備です。 セキュリティのギャップとシステムの弱点は、定期的なパッチで埋め、包括的なセキュリティ監視を実行する必要があります。 よくあることですが、最大の弱点は人的要因です。 したがって、最も重要な対策は、従業員を定期的にトレーニングし、社内にセキュリティの考え方を確立することです。 会社がこれに必要な内部リソースを欠いている場合、Arctic Wolf などの信頼できるセキュリティ専門家に依頼して、これらのセキュリティ対策の実装をサポートしてもらうことができます。 これらすべてを考慮に入れれば、会社は緊急事態に十分に備えることができます。」 博士によるとSebastian Schmerl 氏、ディレクター セキュリティ サービス EMEA、アークティック ウルフ。
詳しくは ArcticWolf.com をご覧ください
北極狼について Arctic Wolf は、セキュリティ オペレーションのグローバル リーダーであり、サイバー リスクを軽減するための初のクラウドネイティブ セキュリティ オペレーション プラットフォームを提供しています。 Arctic Wolf® Security Operations Cloud は、エンドポイント、ネットワーク、およびクラウド ソースにわたる脅威テレメトリに基づいて、世界中で 1,6 週間に 2.000 兆を超えるセキュリティ イベントを分析します。 ほぼすべてのセキュリティ ユース ケースに企業にとって重要な洞察を提供し、顧客の異種セキュリティ ソリューションを最適化します。 Arctic Wolf プラットフォームは、世界中で XNUMX を超える顧客に使用されています。 自動化された脅威の検出と対応を提供し、あらゆる規模の組織がボタンを押すだけで世界クラスのセキュリティ運用をセットアップできるようにします。
トピックに関連する記事