ほとんどの業界と同様に、サイバー犯罪者は過去 XNUMX 年間で状況の変化に適応し、変化してきました。 彼らは豊富な進化するツールを保有しており、多くのベクトルを活用して目的地である貴重な企業データにたどり着くことができます。 Varonis の専門家が、最新のランサムウェア攻撃についてすべての経営幹部が知っておくべきことを説明します。
これが、現代の攻撃者がさらに破壊的なランサムウェア キャンペーンを開始することを学んだ方法です。 同時に、彼らはより効率的になり、起訴を回避することに長けています。 これは、ランサムウェア グループが (まれに) 分裂した後に再編成し、新しいインフラストラクチャを構築して、新しい名前を付ける方法です。 DarkSide など、いくつかの有名な攻撃の背後にあるランサムウェア グループであり、現在は間違いなく BlackMatter として知られています。 多くの場合、このような再編成の後、サイバー犯罪者はより強くなって戻ってきて、経験から学び、新しい技術と脆弱性を使用します。 彼らは豊富な進化するツールを保有しており、多くのベクトルを活用して目的地である貴重な企業データにたどり着くことができます。
ロシア当局による REvil のインフラストラクチャの解体と、戦利品の少なくとも一部の没収は確かに注目に値し、励みになります。 もちろん、これは万全を期す理由ではありません。サイバー犯罪者と戦うことは、乾いた森に火を消すようなものです。 消すことはできますが、いつでもどこでも再び燃え上がる可能性があります。
ビジネスモデルとしてのランサムウェア
サイバー恐喝は大きな利益を約束し、犯罪者の開発と革新を促進します。 ビットコインのような暗号通貨を規制し、その匿名性を制限しようとする試みは賢明に見えますが、実施するのは困難です. さらに、攻撃者は追跡がより困難なモネロなどのデジタル通貨をすでに使用しています。 根本的な状況が根本的に変わらない限り、企業はランサムウェア ギャングが存在し続け、その技術を改良し、重要なデータを標的にすることを想定する必要があります。
現在、ほとんどのサイバー犯罪者は、効率的なサービスとしてのランサムウェア (RaaS) モデルに依存しており、独立した攻撃者が迅速に攻撃を開始できるようになっています。 このサービスを独自のツールや手法と組み合わせて、被害者を効果的に攻撃し、データを人質にとることができます。 攻撃者は、データを暗号化する前に盗み出し、公開すると脅して被害者にさらに圧力をかける「二重恐喝」アプローチをますます追求しています。 さらに、攻撃者は現在、公式のデータ保護当局に報告すると脅迫することが多く、企業は罰金が科せられることを恐れており、公の場で非難されることを避けたいと考えています。
利益を最大化するために、攻撃者は被害者のファイルをくまなく調べて、金銭的余裕を見積もり、攻撃が発生した場合にサイバー保険が支払うかどうか、およびいくら支払うかを調べます。 その後、身代金の要求がそれに応じて設定されます。
異なるアプローチ、同じ目標
時間が経つにつれて、各グループは特定の手口を開発します。 たとえば、BlackMatter は多くの場合、アクセス制御、つまりネットワーク上のどのデータに誰がアクセスできるかを決定するセキュリティ設定を操作して、すべての従業員が膨大な量のデータにアクセスできるようにします。 言い換えれば、彼らはボールトをクラックするのではなく、吹き飛ばして開き、組織を将来の攻撃に対してさらに脆弱にします。 他の攻撃者は、従業員や、すでに会社のネットワークに接続している他の人など、会社の内部関係者を積極的に勧誘します。 特に不満を持っている従業員は、これに陥りがちです。 被害者への圧力を高めるために、サイバー犯罪者の中には、盗んだ少量のデータを公開するものもあります。
これがランサムウェア防御を強化する方法です
Varonis Systems の DACH カントリー マネージャー、Michael Scheffler 氏 (画像: Varonis)。
ランサムウェアが犯罪者に莫大な利益を約束している限り、彼らは被害者を探し続けます。 企業にとっては、簡単に犠牲者にならず、データ関連の脅威に対する回復力を高めることです。
- 弱いパスワードや再利用されたパスワードを排除し、多要素認証 (MFA) を有効にします。 この重要なステップは、ビジネスを保護するために実行できる最も簡単なステップの XNUMX つです。 BlackMatter などの多くのグループは、ダーク Web でユーザー名とパスワードを取得し、ブルート フォース攻撃に使用します。
- 異常なアクティビティを認識します。 ほとんどの組織では、従業員と請負業者は毎日の勤務スケジュールに固執し、同じファイルにアクセスし、既知の場所から同じデバイスを使用しています。 新しい場所からのログインや業務に不要なファイルへのアクセスなどの通常とは異なるアクティビティは、アカウントやデバイスが侵害されていることを示している可能性があります。 特に管理アカウントやサービス アカウントに関連する異常なアクティビティは、優先度を高くして監視し、必要に応じて迅速に停止する必要があります。
- ランサムウェア攻撃の兆候がないかデータを監視します。 ランサムウェアは、人事担当者や経理チームのようには振る舞いません。 ランサムウェアが展開されると、すぐに大量のデータを開いて評価し、必要に応じてこれらのファイルも暗号化します。 従業員も合法的にファイルを暗号化します。 ただし、マルウェアは人間のユーザーとは異なる動作をする傾向があり、通常、ファイルを一括して高頻度で変更または暗号化します。 これは、勤務時間外によく発生します。 これにより、認識がはるかに難しくなり、ファイルを支障なく暗号化できます。
- データ中心のアプローチを取る。 エンドポイントが爆発的に増加しているにもかかわらず、ほとんどのデータはオンプレミスと、大規模な集中型データ ストアを備えたクラウドに保存されています。 同時に、このデータを取得するための膨大な数のベクトルがあります。 これらを完全に予測して監視できたとしても、セキュリティ アラートが殺到する可能性があります。 すべてのエンドポイントとベクトルで「外側」から始めてデータの内側に向かって作業するよりも、大規模な集中型データ ストアの保護を開始する方がはるかに理にかなっています。
- ほとんどの企業は、あまりにも簡単にアクセスでき、保護されていないデータの量を認識していません。 侵害された 11 人のユーザーが、大量の機密データにアクセスして侵害する可能性があります。 実際にはセキュリティに敏感な金融部門のデータ リスク レポートは、すべての従業員が勤務初日から平均で約 20 万のファイルにアクセスし、大企業では約 XNUMX 万にまで及ぶことを示しています。半径。
ビジネスの回復力を高めたい場合は、最大の資産から始めましょう。 企業は、攻撃者が何を望んでいるのか、つまりデータを知っています。 最小特権モデルを使用すると、企業は、従業員が実際に仕事に必要なアクセス権のみを従業員に付与できます。 データへのアクセスを体系的に制限し、より綿密に監視することで、攻撃者にとってより困難になります。
詳細は Varonis.com をご覧ください
ヴァロニスについて 2005 年の創業以来、Varonis はオンプレミスとクラウドの両方に保存されている企業データをセキュリティ戦略の中心に置くことで、ほとんどの IT セキュリティ ベンダーとは異なるアプローチをとってきました。従業員記録、財務記録、戦略および製品計画、およびその他の知的財産。 Varonis Data Security Platform (DSP) は、データ、アカウント アクティビティ、テレメトリ、およびユーザーの行動を分析することで内部関係者の脅威とサイバー攻撃を検出し、機密データ、規制対象データ、および古いデータをロックダウンすることでデータ セキュリティ違反を防止または軽減し、システムの安全な状態を維持します。効率的な自動化を通じて、