ランサムウェアは、サイバー犯罪者の暗号通貨アカウントに大金を注ぎ込みます。 しかし、すべての石炭はどこに行き着くのでしょうか? 贅沢な生活? ソフォスの調査によると、さらなる攻撃に多額の資金が投入されています。 お金を払った人は、自分自身への次の攻撃にも資金を提供します。
ランサムウェア攻撃の被害者が、没収されたデータの所有権を取り戻すと仮定して脅迫者に支払った数百万の Bitcoins & Co. は、実際にはどこに行くのでしょうか? 少なくとも XNUMX 回は予感がありました。Clop ランサムウェア グループに関連する容疑者がウクライナで逮捕された際、証拠として集められた車のタグの印象的なコレクションがあり、レッカー車で発見された多数の高級車が積み込まれて没収されました。
さらなる攻撃のために再投資する
しかし、他の優良企業と同様に、サイバー犯罪者も利益の一定割合を「事業」に投資しています。 また、一般的なサイバー犯罪ビジネスの拡大も、稼いだドルを使用するための一般的なビジネス モデルです。 そのため、REvil グループが昨年、提供されたサービスの前払いとして、サイバー犯罪フォーラムに XNUMX 万ドル相当のビットコインを寄付したことは驚くべきことではありません。 しかし、この行動は、提供されたお金が単なる約束以上のものであることをフォーラムのメンバーに証明するのに役立ちました。それは、成功した「応募者」に費やされる必須の投資でした。
RAT、LPE、RCE - 拡大鏡の下にあるサイバー犯罪の専門用語
このサイバー犯罪市場で提供されているものは、Windows 10 向けのファイルレス ソフトウェアで元のソリューションが最大 150.000 ドルかかるものから、数百万ドルの予算で RCE を含むゼロデイ エクスプロイトに至るまで、不可解に聞こえます。サイバー犯罪フォーラムの技術用語のリストは長く、最も重要なものを以下に簡単に説明します。
RAT = リモート アクセス トロイの木馬
ボットまたはゾンビとも呼ばれます。 RAT は、不正なアクセスの抜け穴を開き、詐欺師が PC を制御できるようにします。 一部の RAT は、キーロギングをオンにしたり、スクリーンショットを撮ったり、オーディオとビデオを記録したり、機密ファイルをコピーしたりする明示的なリモート アクセス コマンドを提供します。
しかし、ほぼすべての RATS には、RAT 自体を自動的に更新したり、追加またはランダムなマルウェアをダウンロードまたはインストールしたり、元の RAT をすぐに閉じてすべての証拠を削除したりできる機能もあります。 RAT が自身を完全に異なるタイプのマルウェアに変換するという非常に大きな能力は、検出されない RAT によってもたらされるリスクがほぼ無限であることを示しています。
ファイルレス ソフトウェアはレジストリに「常駐」
技術的には、レジストリ (Windows では、オペレーティング システムの構成が存在する場所) に「存在する」ソフトウェアは、実際にはファイルレスではありません。レジストリ自体がハード ドライブ上のファイルに存在するためです。 ただし、Windows が起動時に自動的に起動するソフトウェアのほとんどは、実行するプログラムを含むファイル名としてレジストリに一覧表示されます。 そのため、プログラムが悪意のあるプログラムまたは不要なプログラムである場合は、ハード ドライブを定期的にスキャンすることで、マルウェアを見つけて削除することができます。 それが通常のコースです。 ただし、一部のレジストリ エントリには、Windows で実行する実際のスクリプトまたはプログラムがエンコードされてレジストリ データに含まれている場合があります。 この方法で保存された脅威は、ディスク上の独自のファイルを占有しないため、見つけにくくなります。
LPE = ローカル権限昇格
詐欺師は、LPE 内のコンピューターに侵入できません。 ただし、すでにシステムに存在している場合、LPE の脆弱性を利用して、通常のユーザー アカウントからより多くの権限を持つアカウントに自分自身を昇格させることができます。 ハッカーのお気に入りはドメイン管理者であり、システム管理者とほぼ対等な立場にあります。
RCE = リモート コード実行
攻撃者はコンピューターに侵入し、ユーザー名とパスワードでログインせずに任意のプログラムを起動します。
ゼロデイエクスプロイト
まだパッチが適用されていない脆弱性
ゼロクリック攻撃
ユーザーのアクションを必要としない攻撃。 このテクノロジーは、サーバーでよくあるように、コンピューターがロックされていたり、誰もログインしていない場合でも機能します。
ランサムウェア攻撃後の重要な問題: 支払うかどうか
カウントするかどうかは、ランサムウェアによるハッカーの攻撃が成功した後の問題です。 残念ながら、身代金を支払うべきではありませんが、万能の答えはありません。被害者がビジネス上の災害を回避できる唯一のチャンスである可能性があるからです。 ただし、Sophos State of Ransomware Report 2021 が明らかにしているように、身代金を支払っても完全なデータ復旧が保証されるわけではありません。 身代金を支払った人のうち、その後すべてのデータを取り戻したのは 8% だけでした。 Sophos の上級技術者である Paul Ducklin は次のように述べています。 「サイバー犯罪者とビジネスを行うことは火遊びであり、同時に、恐喝金が個人的な贅沢に費やされるだけでなく、サイバー犯罪ビジネスの成長を促進する新しい攻撃やテクノロジーにも費やされることを誰もが認識する必要があります。全体。"
詳細は Sophos.com をご覧ください
ソフォスについて ソフォスは、100 か国の 150 億人を超えるユーザーから信頼されています。 複雑な IT の脅威とデータ損失に対する最高の保護を提供します。 当社の包括的なセキュリティ ソリューションは、導入、使用、管理が簡単です。 業界で最も低い総所有コストを提供します。 ソフォスは、受賞歴のある暗号化ソリューション、エンドポイント、ネットワーク、モバイル デバイス、電子メール、および Web 向けのセキュリティ ソリューションを提供しています。 また、独自の分析センターのグローバル ネットワークである SophosLabs からのサポートもあります。 ソフォスの本社は、米国のボストンと英国のオックスフォードにあります。