ランサムウェア攻撃: 支払うか支払わないか?

最悪のシナリオ: ランサムウェアが企業内に拡散し、PC やドライブ上のデータを暗号化する可能性があります。 その後、身代金要求が画面に表示されます。 ランサムウェア攻撃を受けた後、企業はどのように決定を下す必要がありますか? セキュリティの専門家がアドバイスします。 Kaspersky、G Data、Sophos、Trend Micro、Bitdefender、AV-TEST、Bitglass、Digital Guardian、Fore Nova、Radar Cyber​​ Security、Barracuda Networks からのコメント。

ファイルが開かれ、場合によってはスクリプトが実行され、ランサムウェアが実行され、すぐに企業ネットワーク内で広がり始めます。 現在、多くの企業では、この最悪のシナリオに備えて、適切な手順を開始し、損害を制限する緊急プロトコルが用意されていることがよくあります。 これらのログには、身代金の支払いも含まれていません。これは良いことです。

しかし、多くの企業は、ランサムウェア攻撃に対して十分な準備ができていると考えています。 しかし、実際にはそうではありません。 既存のセキュリティ システムは過大評価されているか、社内のノウハウでは適切に評価できないことが多いためです。 この問題は、中小企業だけでなく、大企業にも影響を及ぼします。 近年流行しているランサムウェア攻撃は、これが事実であることを示しています。 2017 年 XNUMX 月、ほぼすべての新しい Deutsche Bahn ディスプレイに WannaCry ランサムウェアの支払い要求が表示されたとき、国全体がこのような攻撃を目撃することができました。 この記事の後半で、最もよく知られている攻撃をリストします。

もちろん、ほとんどの攻撃は、より少数の対象者の下で行われます。 しかし、GDPR と、データが漏洩した可能性のある攻撃を報告する義務があるおかげで、報告はほぼ毎日のように行われています。

ランサムウェア: ゼロアワー

準備が整っているかどうかに関係なく、すべての企業がランサムウェア攻撃の標的となり、被害者になる可能性があります。 攻撃が成功した後も、企業は同じ質問を自問し続けます。今何ができるでしょうか? 今払いましょうか？ 遅くとも、管理者や金融の専門家がセキュリティの専門家と並んでテーブルに着くとき、身代金の支払いの問題は経済的な決定になります。 これは、たとえば、今年 4,4 月に発生した米国のパイプライン オペレーターであるコロニアルへの攻撃で起こったことです。 パイプラインの制御システムの多くは暗号化されており、シャットダウンする必要がありました。 公式声明: 引き起こされたシステムの損傷を評価することはできません。 したがって、いつパイプラインが再びグリッドに接続できるようになるかは、はっきりとは言えません。 この理由により、Colonial Pipeline はビットコインで XNUMX 万ドルの身代金を支払いました。 しかし、次の衝撃はすぐに訪れました。脅迫者が提供した復号化ツールは、損傷を部分的にしか修復できませんでした。 その結果、同社はパイプラインを緊急モードでしか再開できず、パフォーマンスが低下しました。 制御システムを修理するためのさらなる費用は、まだ未決のままでした。

払うか払わないか？

Colonial Pipeline の場合と同様に、舞台裏でランサムウェアに攻撃された企業は、身代金を支払うことを選択し、XNUMX つの悪のうち小さい方であると信じています。 企業の特に大胆な計算機は、特定のデータが失われたり、再入力が必要になったり、現在のビジネスの一部を処理できなくなったりした場合に発生する損害を鋭い鉛筆で計算することがよくあります。 次に、身代金の合計がこれに対して設定されます。 名前のない一部の企業は、そのような計算がほとんどナンセンスであることを痛感しなければなりませんでした。 彼らの請求書では、侵害されたシステムにパッチを当てるために支払ったことを忘れていたため、その後すぐに、攻撃者がまだシステムに完全にアクセスできることがわかりました。 企業ネットワーク全体の変換と新しい構造は避けられませんでした。

アイルランドの保健サービス HSE の責任者は、別の方法があることを示しました。 今年 XNUMX 月に発生した深刻なハッカー攻撃の後、重要なデータが暗号化されたため、同国の病院は多数の治療予約をキャンセルしなければなりませんでした。 薬局の電子処方箋システムも影響を受けました。 HSE の責任者はシステムをシャットダウンし、すぐにシステムとデータの復元に取り掛かりました。 HSE はランサムウェア恐喝者に身代金を支払うことはなく、そのお金をシステムの復元と再構築に使用することがすぐに公表されました。 専門家はまた、この決定により、別のランサムウェア攻撃の可能性が大幅に低くなると述べています。 攻撃者は主に、身代金も支払われることを知っている、または疑って​​いるターゲットを選択します。

身代金ゼロ戦略を求める政治的呼びかけ

その間、ランサムウェアの問題は政治にも及んでいます。 ドル、ユーロ、またはビットコインが支払われるたびに、新しい攻撃の資金が調達されることが理解されています。 ランサムウェアによる攻撃が増加し、ますます増加するスパイラルに陥っています。 だからこそ、政治家はこれを終わらせなければならないと要求しているのです。 米国のバイデン大統領は最近、身代金ゼロの戦略に向けた第一歩を踏み出しました。 報告されたランサムウェア攻撃は、テロ攻撃と同等であると判断されました。 この犯罪の重要性の増大により、米国内の国家安全保障資源へのより多くのアクセスが可能になります。 たとえば、Colonial Pipeline の場合、FBI やその他の米国機関が介入し、脅迫者へのビットコインの支払いを追跡しました。 その後、Darkside グループから 2,7 万ドルの身代金のうち 4,4 ドルを回収し、支払いシステムのインフラストラクチャを破壊しました。

さらに、APT グループの Darkside と REvil/Sodinokibi は、前例のない声明を出して、Colonial Pipeline と JBS 攻撃 (アメリカの食肉処理業者) の影響から距離を置こうとしました。 セキュリティ スペシャリストのアバストによると、米国政府の措置により、大規模なアンダーグラウンド フォーラムからランサムウェアの広告が消えることさえありました。 そして、いわゆるビジネスパートナーは、ダークサイドをハッカー裁判所の前に引きずり出し、彼らの損失について不平を言ったと言われています-この冥界の法廷が開かれる場所はどこでも.

英国でも、身代金ゼロの戦略を勧める声が聞かれています。 シークレット サービス GCHQ のサイバーセキュリティ センターのスポークスパーソンは、ハッカーへの身代金の支払いを法的に禁止するよう求めています。 組織犯罪は身代金で賄われているため、これが APT グループのビジネス モデルを破壊する唯一の方法です。

ドイツでは、サイバー防御とランサムウェアに関する政治的話し合いが行われていますが、米国が実施したり、英国が部分的に計画したような措置はありません。 Zeit Online の今年の記事が示すように、これは必要なことです。過去 100 年間で、少なくとも XNUMX のドイツのオフィス、政府機関、国営の診療所、市の行政機関、および裁判所がランサムウェア ギャングによって攻撃されています。

専門家が企業にアドバイスすること

ランサムウェア攻撃が発生した場合に企業がどのように対応するのが最善かを、セキュリティの専門家の大規模なグループに尋ねました。 セキュリティ メーカーのいわゆるエバンジェリストと、テスト ラボ AV-TEST の専門家が回答しました。 さらに、特別な検出および応答ソリューションまたは従来のネットワーク保護を提供するメーカーからコメントを収集しました。 興味深いことに、一部の専門家は、ランサムウェア攻撃が発生した場合に支払いを断固として拒否しています。 他の人は、たとえば会社の存続が危険にさらされている場合など、収益性が決定的な要因になる可能性があるという事実を支持しています。 以下はコメントです。

Kaspersky-Christian Funk

Kaspersky の調査および分析チームの責任者である Christian Funk のコメントです。 「Bitkom によると、ランサムウェアによる被害は過去 20 年間で 2019 倍以上になりました。 私たちの分析によると、約 767 人のサイバー犯罪者が特に上位の組織を標的にしており、2019 年以降、身代金の要求が満たされない場合、追加の圧力手段としてデータを公開すると脅迫しています。 これは現在、「ビッグ ゲーム ハンティング」として理解されています。 このような標的型攻撃は、2020 年から XNUMX 年にかけて XNUMX% 増加しました。 パンデミックにより、多くの企業は、ホーム オフィスへの十分なアクセスを迅速に設定して拡張する必要に迫られました。 これにより、攻撃者がゲートウェイとして悪用できるシステムのセキュリティが脆弱であったり、不適切に構成されたりすることが多く、このランサムウェア攻撃の大幅な増加の原動力となっています。

「ハイレベルな組織はますます標的を絞った攻撃をしている」

被害者は身代金を支払うべきではありません。 暗号化されたデータが復元されるという保証はありませんが、サイバー犯罪者の犯罪活動は確認されています。 データ損失の可能性を防ぐために、定期的なセキュリティ更新を実行して、脆弱性をできるだけ早く排除する必要があります。 すべてのエンド デバイス向けの効果的なセキュリティ ソフトウェアは、コンピューターとサーバーをランサムウェアやマルウェアから保護し、エクスプロイトの使用を防ぎ、既にインストールされているセキュリティ ソリューションと理想的に互換性があります。 さらに、バックアップは常に適切な間隔で作成する必要があります。」 Kaspersky.de

Gデータ - ティム・バーグホフ

G DATA Cyber​​Defense のセキュリティ エバンジェリストである Tim Berghoff 氏のコメント: 「企業がランサムウェアに対処する方法について明確な考えがあります。バックアップを復元し、必要に応じてデータ保護機関にケースを報告し、苦情を申し立て、そして何よりも、身代金。 実際、例外なく、支払いを行うことは考えられる最悪の選択肢です。

「支払いを行うことは、例外なく、考えられる最悪の選択肢です」

ただし、個々のケースで支払いを支持する理由もあります。 その理由の 2020 つは純粋に経済的なものです。 生産の損失、罰金の可能性、およびデータ復旧のコストが身代金を大幅に超える場合、決定は迅速に行われます。 メルトダウンが発生し、バックアップが利用できない場合、支払いのアイデアは明らかです. 特に、会社が財政破綻の危機に瀕している場合。 これは、身代金要求が 2021 年から 500 年の間に平均で最大 XNUMX% 増加したという事実にもかかわらずです。 同時に、実際に行われた支払いの数も大幅に増加しました。 さらに、多くの被害者は何度も脅迫されており、加害者はデータを暗号化し、それを公開すると脅迫しています。 特に、Microsoft Exchange のようなミッション クリティカルなプログラムや、Kaseya のような MSP が使用する管理ソフトウェアが攻撃の標的になる場合は、ここ数か月のケースのように、より優れた回復力が求められます。」 GData.de

Sophos-Michael Veit

ソフォスのセキュリティ エキスパート、マイケル ベイトのコメント企業は、緊急時にランサムウェア攻撃者に多額の身代金を支払う傾向があります。 想定されるレスキュー バックアップが暗号化されていたり破損していたために、管理者が遵守を余儀なくされた例は数多くあります。 彼らは、IT インフラストラクチャをできるだけ早く復旧して稼働させたいと考えています。または、インフラストラクチャを復元するコストよりも安価に見えるという理由で支払いを選択しています。 もう XNUMX つの一般的な理由は、盗まれたデータが販売または公開されるのを防ぐことです。 コロニアル・パイプラインも、これらの理由の XNUMX つを支払いの正当な理由として挙げています。

「誰が支払っても、データの回復を保証するものではないという事実に注意する必要があります」

ただし、身代金の支払いは、法的な観点からのみ批判的に見られるべきではありません。 データの回復を保証するものではないことに注意してください。 ランサムウェアの現状レポート 2021 レポートで、ソフォスは、身代金を支払った後、企業がデータの平均 65% しか復元できなかったことを発見しました。 すべてのデータを取り戻した企業はわずか 8% で、29% は支払いによって半分以下しか節約できませんでした。 身代金に加えて、付随的および派生的な損害も考慮に入れる必要があります。 ランサムウェア攻撃から回復するだけの平均コストは、ドイツの約 390.000 ユーロから 970.000 年には 2021 ユーロへと、わずか XNUMX 年で XNUMX 倍以上になりました。

攻撃者の犯罪の激しさ、創造性、および知性の増加を抑えることはできません。 ただし、潜在的なリスクを軽減するために、未使用の可能性が数多くあります。

企業や組織がサイバーセキュリティでより強力な立場を取るために、最初に攻撃を受けるべきではありません。 時間とリソースを使って治安状況を評価し、すぐに最高レベルの能力を備えて (内部および外部の専門家と共に)、可能な限り優れた早期防御を確立する必要があります。 戻します。Sophos.com

トレンドマイクロ – ウド・シュナイダー

Trend Micro の IoT Security Evangelist Europe である Udo Schneider 氏のコメント: 「効果的なランサムウェア保護は、ネットワーク レベルとエンドポイントの両方から開始し、攻撃に対する予防的保護、疑わしいインシデントの迅速な検出、永続的な運用という XNUMX つの基本機能を満たす必要があります。

IT に加えて、モノのインターネットも恐喝ソフトウェアの被害者になりつつあります。 Trend Micro の調査によると、Ryuk、Nefilim、および Sodinokibi マルウェア ファミリの亜種が、2020 年の産業用制御システム ランサムウェア感染のほぼ半分を占めていました。 したがって、IT セキュリティ チームと OT チームがより緊密に連携して、オペレーティング システムの互換性やランタイム要件などの主要なシステムと依存関係を特定し、より効果的なセキュリティ戦略を開発することが重要です。

「IT に加えて、モノのインターネットも脅迫ソフトウェアの被害者になりつつあります。」

脆弱性への即時のパッチ適用が最優先事項です。 このオプションが存在しない場合、企業はネットワーク セグメンテーションと仮想パッチを使用する必要があります。 さらに、ネットワーク共有を制限し、強力なユーザー名とパスワードの組み合わせを強制する必要があります。 これにより、クレデンシャルのブルート フォースによる不正アクセスが防止されます。 さらに、企業は、ネットワーク管理者とオペレータに対する最小権限の原則に依存する必要があります。 残念ながら、ランサムウェア攻撃に対する万能薬はありません。 そのため、複数のレベルを含むセキュリティの概念が重要です。」 トレンドマイクロ.com

Bitdefender - ダニエル・クレイトン

Bitdefender のグローバル セキュリティ オペレーションおよびサポート担当バイス プレジデントである Daniel Clayton からのコメント: 2021 年 2020 月中旬の消費者脅威レポートで分析された Bitdefender テレメトリ データは、これを証明しています。 犯罪者は、データを暗号化するだけでなく、データを販売および開示するとますます脅迫しています。 後者は、GDPR やその他の規制に基づいて報告する義務があるため、効果的な脅威です。 したがって、IT 管理者は、遅かれ早かれ自分の会社が恐喝攻撃の犠牲になる可能性があるという事実を認識しておく必要があります。 ランサムウェア攻撃は、本質的に非常に単純な場合もありますが、多くの場合複雑です。 後者の場合、ハッカーが身代金を支払った後、すでにネットワークに侵入しており、次の攻撃に備えて効果的に準備している可能性が高くなります。

「身代金を支払うことで攻撃が成功し、新たな攻撃の可能性が高まる」

身代金を支払うべきですか？ 明確な答えは、いいえです。 身代金を支払うと、そのような攻撃が成功し、新たな攻撃が発生する可能性が高くなるからです。 企業が身代金を払い続ける限り、ハッカーは新たな恐喝を開始します。 そのため、予防、MDR、およびバックアップとリカバリによる潜在的な損害の最小化が重要です。 また、ハッカーは、一度支払った企業を将来の良い標的として覚えています。 再犯の可能性は、無給の被害者では大幅に低くなります。 Bitdefender.com

AV TEST – マイク・モーゲンスターン

AV-TEST GmbH の CTO である Maik Morgenstern からのコメント: AV-TEST は毎日 400.000 を超える新しいマルウェア サンプルを登録しており、すべての企業が自身の経験からそれを認識しています。 ランサムウェアは、ここ数年、犯罪者にとって「最も成功した」ビジネス モデルの XNUMX つです。 一つには、攻撃は比較的簡単に実行できます。 攻撃者は完成したランサムウェアをサービスとして購入し、スパム サービス プロバイダーを利用して、何の努力もせずに一挙に多くの企業を攻撃します。

「予防の必要性はいくら強調してもしすぎることはありません」

さらに、犠牲者が被った高いレベルの苦痛と、感染の成功を額面通りに直接変換することもあります。 何度も支払わないようにとの忠告がされても、やむを得ない会社もあります。 したがって、ここで予防の必要性を強調しすぎることはありません。 定期的かつ完全なバックアップ、およびクライアントとゲートウェイでの常に最新の保護製品などの一般的な対策に加えて、ソーシャル エンジニアリングの要因も考慮する必要があります。 すべてのユーザーは、攻撃の種類と、潜在的なスパムやマルウェア メールに対する正しい対応について、定期的なトレーニング コースを受講する必要があります。 AV-TEST.org

ビットグラス—アヌラグ・カホル

Bitglass の CTO である Anurag Kahol のコメント: これを行うために、彼らは、疑わしい電子メールにフラグを立ててブロックし、エンドポイントとクラウドでマルウェアを保護し、会社のリソースへの不正アクセスを保護するインテリジェントなセキュリティ ソリューションを使用しています。 しかし、ランサムウェアに対する包括的な戦略として、侵入を防ぐことはコインの XNUMX つの側面に過ぎず、次のエスカレーション レベル (攻撃の成功) に対するアクション プランはほとんど存在しません。

「次のエスカレーション レベルのアクション プラン (攻撃の成功) はめったにありません」

これの優先順位は明らかです。まず第一に、事業運営を維持するか、できるだけ早く再開することです。 これに備えるために、企業は IT システムの個々のコンポーネントのビジネス オペレーションへの関連性を評価し、さまざまな障害シナリオを実行し、緊急オペレーションに対して適切な予防措置を講じる必要があります。 機密性の高い企業データの保護も重要です。サイバー犯罪者がそれを盗み、自分の目的のために悪用するリスクがあるからです。 企業は、機密データを継続的に暗号化することで、このシナリオを防ぐことができます。 ランサムウェア感染から防御し、ビジネス継続性を保護し、最も価値のある企業データを常に保護するという、あらゆる層の対策が連携することで、企業はランサムウェア攻撃に対する回復力を大幅に向上させることができます。」 ビットグラス.com

デジタルガーディアン — ティム・バンドス

Digital Guardian の最高情報セキュリティ責任者である Tim Bandos のコメント: 「毎年、ランサムウェアのオペレーターと開発者は技術と技術を進化させています。 コロニアル パイプライン ハッキングの背後にいるダークサイド グループは、これを明確にする専門的なビジネス モデルを持っています。犯罪者は、被害者に技術サポートを提供し、ターゲットの選択に「倫理的な」アプローチを取り、恐喝目的でデータを盗みます。

「ランサムウェアの感染を防ぐのに役立つさまざまなソリューションがあります」

ランサムウェアの感染を防ぐのに役立つさまざまなソリューションがあります。 ウイルス対策ソフトウェアとファイアウォールは、少なくとも、流行している既知のマルウェアをブロックするのに役立ちます。 保護を強化するために、組織は Advanced Threat Protection (ATP) および Endpoint Detection and Response (EDR) ソリューションを検討して、ランサムウェアの検出とブロックを合理化する必要があります。 Managed Detection and Response (MDR) は、社内リソースが限られているために EDR を自社で実装することが困難な企業にとっても、優れた代替手段となります。

悪意のあるコードの実行を防ぐために、アプリケーションのホワイトリスト ソリューションも使用する必要があります。 また、パーミッションの正しい追跡にも注意を払う必要があります。 システムにアクセスできる従業員は、ランサムウェアに対する潜在的な脆弱性を生み出します。 従業員の教育、継続的な更新とバックアップの実践、およびセキュリティ テクノロジで構成される多層セキュリティ アプローチにより、ランサムウェア攻撃のリスクを大幅に軽減できます。」 DigitalGuardian.com

ForeNova - ポール・スミット

ForeNova のプロフェッショナル サービス ディレクターである Paul Smit のコメント: ランサムウェアは組織犯罪になりました。 それには相応の防御が必要です。 ランサムウェアの脅威に直面した場合、予防が不可欠です。

「もはや個々の攻撃をかわすことではなく、組織化されたギャングと戦うことです」

バックアップはデータを保護し、データの損失を防ぐことができますが、情報の開示や販売は防げません。 防御のためには、攻撃をできるだけ早く認識することが重要です。 ただし、これを行うには、ネットワーク内および内部から外部へのデータ トラフィック全体を監視する必要があります。 疑わしい横方向の動き、セキュリティギャップへの攻撃、マルウェアのインストール、悪意のある侵入、目立ったデータ漏洩、暗号化の即時準備など、AI がサポートする行動パターンに気付くことができます。 影響を受けるシステムをブロックし、攻撃が損害を与える前に迅速に封じ込めることができます。

ランサムウェア攻撃にお金を払うべきですか? 身代金を支払うことについて何も話していません。 データが再び復号化されるという保証は誰にもないからです。 いずれにせよ、システムが稼働を再開するまでのダウンタイムによる被害は残ります。 漏えいした情報は、売却されたり、利益のために悪用されたりする可能性があります。 そして、次の攻撃のための裏口は、すでに再び亀裂が開いている可能性があります。 ForeNova.com

Radar Cyber​​ Security – アリ・カール・ギュラーマン

Radar Cyber​​ Security の CEO 兼ゼネラル マネージャーである Ali Carl Gülerman のコメント: したがって、サイバーセキュリティはITの影から抜け出し、人事や研究開発と同様に、取締役会の戦略的意思決定のテンプレートになる必要があります. サイバーセキュリティがバリュー チェーンの一部になったのは、かなり前のことです。

「今日の企業は、侵入に対する絶え間ない戦いの中にいます」

ランサムウェアを含むサイバー攻撃に対する包括的な防御のために、企業は独自の Cyber​​ Defense Center または CDC as a Service を検討する必要があります。これにより、サイバー レジリエンスが大幅に強化される可能性があります。 これは、技術的なセキュリティ インフラストラクチャが特定する膨大な数のアラート、新しい脅威、および異常を組織が分析するのに役立ちます。

セキュリティ オペレーション センター (SOC) とも呼ばれるサイバー ディフェンス センターは、IT セキュリティの専門家、プロセス、およびテクノロジを結び付けます。 CDC では、訓練を受けた専門家がインターネット トラフィック、ネットワーク、デスクトップ、サーバー、エンド デバイス、データベース、アプリケーション、およびその他の IT システムを継続的に検査して、セキュリティ インシデントの兆候を探しています。 企業のセキュリティ コマンド センターとして、CDC は攻撃を防止し、セキュリティ違反が発生した場合に適切な対策を開始するために、セキュリティ状況を継続的に監視する責任があります。」 RadarCS.com

バラクーダ ネットワーク — Klaus Gheri

Barracuda Networks のネットワーク セキュリティ ゼネラル マネージャーである Klaus Gheri のコメント: 「身代金を支払うか、支払わないか? 政治的に正しい答えは、お金を払わないことです。 もちろん、実際には、ケースは異なります。 重要なデータにアクセスできなくなったり、合理的な努力で回復できなくなったりすると、企業にはほとんど選択肢が残されません。 したがって、これは商業的決定よりも道徳的ではありません。 もちろん、お金を払ったからといって、再発を防ぐために新たな保護対策を講じることに加えて、その後の法医学的調査とクリーンアップの必要性から解放されるわけではありません。 できるうちに予防に投資することをお勧めします。

「ランサムウェア攻撃が成功すると、通常は根本的な治療法のみが役立ちます」

ランサムウェア攻撃が成功した場合、通常は根治的な解決策しかありません。システムの電源を切り、再インストールしてバックアップをインポートします。ランサムウェア パッケージがまだバックアップに含まれていないことを常に期待してください。 ただし、バックアップを再度インポートする前に、ゲートウェイを認識し、ネットワークをデジタル スチーム ジェットでクリーニングする必要があります。 これを行う最も簡単で最速の方法は、既製の緊急計画を使用することです。 残念ながら、問題の核心は、自分自身のシステムの必要性とリスクが認識されていないか過小評価されていたため、そのような緊急時対応計画が存在しないことが多いということです。 多くの場合、XNUMX つの問題が急いで解決され、XNUMX つの新しい問題が発生します。 戦略は次のとおりです。迅速だが調整された行動。 組織が支払うことを決定したとしても、クリーンアップを行う必要があります。そうしないと、しばらくして同じ場所に戻ることになります。」 バラクーダ.com

トピックに関連する記事