モールス信号と二重恐喝：今日のマルウェアの状態

ランサムウェアは、莫大なリスクと、非常にコストのかかるさらに大規模な復旧作業をもたらすため、企業ネットワークにとって見知らぬ人ではありません。ランサムウェア攻撃が成功すると、システムがロックされ、IDが盗まれ、データが人質になり、標的となる組織に混乱と災害をもたらす可能性があります。
ランサムウェアが標的に到達すると、実質的にゲームオーバーになります。マルウェアはファイルを暗号化し、システム全体に拡散して被害を最大化します。これにより、多くの企業がネットワークをロックダウンして伝播を停止する必要があります。

暗号化はあらゆる場所で使用されていますが、ファイルのハッシュや難読化と混同しないでください。ハッシュと難読化の手法は検出ツールを回避するのに役立ちますが、ランサムウェアは暗号化のためにデータを人質にします。

それぞれが、最新の対称暗号から非対称暗号まで、さまざまな種類の暗号化を使用しています。この考え方は、鍵なしでの逆の操作を防ぐことです。

多くのランサムウェア株は、暗号化後に「特別な注意」を表示し、ファイルを復号化する唯一の方法はビットコインを犯罪者の財布に送ることであると義務付けています。ただし、ご存知のとおり、ランサムウェアの一部の形式は 復号化可能であり、身代金を支払う必要はありません。または、サイバー保険だけに負担をかけるべきではありません。たとえば、2016年に最初に作成されたマルウェアの古代形式であるジグソーには、ソースコード内のファイルを暗号化するために使用されるキーが含まれています。最近、モールス信号内でこの種の攻撃対象領域が再び表面化したことを確認しました。マルウェアが進化し続けても、犯罪者はあらゆる機能を使用するため、企業は進化する脅威だけでなく、古い攻撃方法にも注意する必要があります。

最近の攻撃は、データを暗号化するだけではありません。マルウェアは、暗号化の前に重要な情報を盗み出すこともできます。ランサムウェアの保護が向上するにつれて、特に削除と回復の戦略により、ハッカーは盗んだデータを新しい手段として使用するようになり、身代金を支払わなくても被害者を脅かすことができ、二重のランサムウェアの脅威が生まれます。

最近、脅威アクターが「二重恐喝」モデルを採用していることを確認しました。このモデルでは、ターゲットのデータを暗号化し、その返還のために身代金を要求するだけでなく、追加の支払いインセンティブを利用して、被害者に身代金を支払うよう圧力をかけます。一部の脅威アクターは、より的を絞ったアプローチを使用し、被害者が支払いをしない限り、データを公開またはオークションにかけると脅迫します。これは、EUの一般データ保護規則（GDPR）および数百のデータ内のコンプライアンスを満たさないリスクを浮き彫りにする状況です。プライバシーポリシーと法律。そのような2つの例は、2021年の最も厄介なマルウェアリストにあるContiとREvilです。これらは、身代金が支払われない場合、リークされたデータをダークウェブサイトに公開することが知られています。

サイバーレジリエンス（攻撃に耐え、データへの継続的なアクセスを確保する機能）を向上させるための重要な方法は、確実なバックアップ戦略を立てることです。ただし、組織が要件を明確にリストして特定することを忘れた場合、最悪の瞬間に大規模な障害を防ぐために手順を定期的にテストしないと、努力が無駄になる可能性があります。

データ保護はすべてリスクの軽減に関するものであり、最も包括的な計画を立てるには、いくつかの重要な質問を自問する必要があります。

• データはどのように事業運営や収益に結びつくのでしょうか。また、データをアーカイブする必要がありますか？
• データは、データが侵害された場合にビジネスにペナルティを課す可能性のある規制の枠組みの対象となる可能性があるレガシーシステムに存在しますか？
• ビジネスがなければ機能できないデータは何ですか？
• そのデータの復元にはどのくらい時間がかかりますか？
• 完全に復元するにはどのくらいの費用がかかりますか？

進化的なランサムウェア攻撃はサービスとデータストリームの可用性に多大なストレスをかけるため、サイバー犯罪者は引き続きアプローチを改善し、さまざまなビジネスモデルを試します。

これらの敵対者は間違いなく、被害者に支払いを受ける可能性を最大化するよう圧力をかけるための追加の方法を探し続けますが、強力なサイバー回復力の実践を現在と将来的に。

David Dufourは、サイバーセキュリティおよび脅威インテリジェンスエンジニアリングの副社長です と WebrootとCarbonite、OpenText企業。