Nefilim ランサムウェアは、年間収益が 1 億ドルを超える被害者を特にターゲットにしています。 トレンドマイクロの調査では、最も成功を収めている最新のランサムウェア脅威グループの XNUMX つを分析しています。
サイバーセキュリティ ソリューションの世界有数プロバイダーの XNUMX つであるトレンドマイクロは、Nefilim ランサムウェア グループに関するケース スタディを公開し、現代のランサムウェア攻撃の性質を詳しく調べています。 この調査は、ランサムウェア グループがどのように進化し、地下で活動するか、また高度な検出および対応プラットフォームがランサムウェア グループに対する防御にどのように役立つかについての貴重な背景を提供します。
最新のランサムウェア ファミリの仕組み
最新のランサムウェア ファミリの運用方法により、すでに過負荷になっている SOC (セキュリティ オペレーション センター) と IT セキュリティ チームがサイバー攻撃を検出して対処する (検出と対応) ことがはるかに困難になっています。 これは、ビジネスの成功や企業の評判にとって重要であるだけでなく、SOC チーム自体のストレスレベルにとっても重要です。
「最新のランサムウェア攻撃は、高度に標的を絞った適応性があり、ステルス性があり、Advanced Persistent Threat (APT) グループによって完成された実証済みのアプローチを使用しています。 ネフィリムのようなグループは、データを盗み重要なシステムをロックダウンすることで、高収益の世界的企業を脅迫しようとしています」とトレンドマイクロのビジネスコンサルタント、リチャード・ワーナー氏は述べた。 「私たちの最新の研究は、この急速に成長するシャドウエコノミーと、拡張検知および対応 (XDR) ソリューションがどのようにそれに対抗できるかを完全に理解したい業界関係者にとって必読の書です。」
顕微鏡で見る: 16 のランサムウェア グループ
2020 年 2021 月から 16 年 0 月までに調査した 5 のランサムウェア グループの中で、危険にさらされている被害者の数の点で、Conti、Doppelpaymer、Egregor、および REvil がトップの成績を収めました。 ClXNUMXp では、オンラインでホストされていた最も多くの盗難データが XNUMX テラバイト (TB) ありました。
しかし、年間売上高が XNUMX 億ドルを超える企業に重点を置いているため、ネフィリムの平均収益の最高額は恐喝によるものでした。
トレンドマイクロの調査が示しているように、Nefilim 攻撃には通常次のフェーズがあります。
- 公開されたリモート デスクトップ プロトコル (RDP) サービスまたはその他の外部向け HTTP サービスで弱い資格情報を悪用する導入アクセス。
- 侵入すると、正規の管理ツールが水平移動に使用され、データ盗難や暗号化のための貴重なシステムが発見されます。
- 「コール ホーム システム」は、Cobalt Strike と、あらゆるファイアウォールを通過できる HTTP、HTTPS、DNS などのプロトコルを使用してセットアップされます。
- C&C サーバーには、特別に保護された、いわゆる「防弾」サービスが使用されます。
- データは読み出され、被害者を脅迫するために Tor で保護された Web サイトに公開されます。 昨年、Nefilim は約 XNUMX テラバイトのデータを公開しました。
- ランサムウェア部分は、十分なデータが得られるとすぐに手動でトリガーされます。
調査結果: マルウェア ローダーと最新のランサムウェア ペイロードとの関係 (画像: Trend Micro)。
トレンドマイクロは以前、AdFind、Cobalt Strike、Mimikatz、Process Hacker、PsExec、MegaSync などの正規ツールが広く使用されており、ランサムウェア攻撃者が気付かれないままターゲットに到達できるようにしていると警告していました。 このため、SOC アナリストが環境のさまざまな部分のイベント ログを調べて、高レベルのコンテキストと攻撃を確認することが困難になる可能性があります。
SOC アナリストの課題
Trend Micro Vision One は、エンドポイントから電子メール、サーバー、クラウド ワークロードに至るまで、複数のレイヤーにわたる不審な動作を監視および関連付けて、脅威アクターにバックドアが存在しないことを保証します。 これにより、インシデント発生時の対応時間が短縮されます。 多くの場合、チームはビジネスに深刻な影響を与える前に攻撃を阻止できます。
完全なレポート「現代のランサムウェアの二重恐喝戦術とそれらから企業を守る方法」は、トレンドマイクロからオンラインで入手できます。
詳しくは TrendMicro.com をご覧ください
トレンドマイクロについて トレンド マイクロは、IT セキュリティの世界有数のプロバイダーとして、デジタル データ交換のための安全な世界の構築を支援しています。 30 年以上にわたるセキュリティの専門知識、グローバルな脅威研究、および絶え間ない革新により、トレンドマイクロは企業、政府機関、および消費者に保護を提供します。 当社の XGen™ セキュリティ戦略のおかげで、当社のソリューションは、最先端の環境向けに最適化された防御技術の世代を超えた組み合わせの恩恵を受けています。 ネットワーク化された脅威情報により、より優れた迅速な保護が可能になります。 クラウド ワークロード、エンドポイント、電子メール、IIoT、およびネットワーク向けに最適化された当社のコネクテッド ソリューションは、企業全体にわたって一元化された可視性を提供し、より迅速な脅威の検出と対応を実現します。