スペシャリストのソフォスは、ランサムウェア攻撃が成功した場合のプロセスと結果をよく知っています。 被害者の観点から: これがランサムウェア攻撃のしくみです。
サイバー犯罪の被害者になりたい組織はありません。 しかし、脆弱性がある場合、攻撃者はそれらを見つけて悪用する可能性があります。 また、被害者がその状態に気付くまでに数か月、あるいはそれ以上かかることもあります。 いわゆるインシデント レスポンダーは、企業が攻撃とその影響を特定、ブロック、軽減するのに役立ちます。 専門家によるこの監視により、攻撃パターンの正確な分析も可能になり、その結果、サイバー犯罪が被害者に実際にどのように影響するかを詳細に把握できます。
真の敵は機械ではなく人間
攻撃者は、セキュリティ チーム間で疑惑が持ち上がるのを避け、検出されないようにするため、ますますステルスに長けています。 したがって、さまざまな場所で攻撃チェーンを突破するには、さまざまなセキュリティ レベルが必要です。 最初の侵害は自動化されていますが、ハッカーはネットワーク スキャナーなどの正当な IT ツールを違法な目的で使用して、セキュリティ テクノロジを回避し、ネットワークを横方向に移動します。 被害者にとっての課題は、IT セキュリティ チームが、合法的でありながら攻撃者によって広く使用されているツールを評価する際に、特に注意を払う必要があることです。 さらに、攻撃者は、目立たないように隠れるために、既存の管理者アカウントを定期的に侵害します。 彼らの攻撃が止められた場合、彼らは別のことを試みます。 ここで、サイバー犯罪の最も重要な側面の XNUMX つである、被害者がまだ過小評価している側面の XNUMX つが明らかになります。それは、マルウェア コードと戦うのではなく、人間と戦うということです。
ランサムウェアはサイバー攻撃のフィナーレ
インシデント対応担当者によると、多くの被害者は、ランサムウェア メッセージなどを通じて、攻撃が目に見えるようになる直前に発生したと考えています。 ただし、これは非常にまれです。 実際、攻撃者は通常、この時点よりもかなり前からネットワークに存在しています。 彼らはレーダーの下に隠れて活動し、システムをスキャンし、バックドアをインストールし、情報を盗みます。 これらのアクティビティはすべて、攻撃からの完全な回復を促進するためにチェックする必要があるマーカーです。 最も警鐘を鳴らしている攻撃の部分は、ランサムウェアの起動です。 この時点で、攻撃者は被害者のネットワークで上記のすべての方法に成功し (さまざまなランサムウェアの動作の図を参照)、カバーを破って存在することができます。 つまり、ランサムウェアの実装は、攻撃の始まりではなく、終わりを意味します。
被害者と攻撃者は大きなストレスにさらされています
インシデント レスポンダーが確認した攻撃の約 XNUMX% にはランサムウェアが関与しており、これらの攻撃の影響はしばしば壊滅的です。 これは、医療施設などの重要な組織に特に当てはまります。攻撃が成功すると、手術のキャンセル、X 線の紛失、がん検診の結果の暗号化などを意味する可能性があります。
一部の被害者は無力だと感じ、身代金を支払うことを唯一の選択肢と考えています。たとえば、攻撃者によってハイジャックされたデータ バックアップへのアクセスを取り戻すためです。 他の組織は支払わないことを選択します。 さらに、復号化キーの身代金よりも、評判へのダメージ (盗まれたデータの公表) を懸念する人もいます。 ランサムウェア自体は、ビジネスライクで洗練されたものから、低品質で見掛け倒しのものまでさまざまです。 ランサムウェアの分析によると、攻撃は被害者を疲れさせ、脅迫するだけでなく、犯罪者もますます「成功ストレス」にさらされていることが示されています。彼らは、支払いを拒否する企業にますます嫌がらせをしています。
再構築の課題: ソースを見つける
インシデント対応者のデータは、多くの被害者が組織内でのランサムウェアの動きを理解するのが難しいと感じていることも示唆しています。 開始点からネットワークの全方向に自動的に拡張するという一般的な仮定がありますが、実際には、事前に選択されたデバイスとネットワーク領域のリストに戦略的に焦点を当てています. また、攻撃者はドキュメントやその他のデータを標的にするだけでなく、ランサムウェアの通知を開始するのに十分なリソースしか持たないようにデバイスやシステムを無効にしたいだけであることも示しています。
攻撃の被害者にとって、これはシステムの復元が、バックアップを復元して攻撃者が行ったことを探すことから始まらないことを意味します。 多くの場合、復旧プロセスは、影響を受けたすべてのマシンを再構築するという重要な課題から始まります。 攻撃はどこから来て、犯罪者はまだシステム内にいるのでしょうか?
機械と人だけの危険防御
監視カメラは犯罪を記録し、加害者を抑止できますが、侵入を止めることはできません。 決定的な要因は、記録をライブで追跡し、適切な行動をとる治安部隊の介入です。 サイバー犯罪者がステルス性を高め、正当なツールやプロセスを使用する能力を向上させるにつれて、脅威ハンティングにおける人的要因の価値が高まっています。 この方法は、最先端のセキュリティ ソフトウェアの高度なアルゴリズムと、攻撃のニュアンスを評価できる人間の日常的な専門知識を組み合わせたものです。これは、ソフトウェアが (まだ) 持っていないスキルです。
詳細については、Sophos.com をご覧ください。[スターボックス=15]