1. HOME
  2. ブログ
  3. Blog
  4. 海外ブログ
  5. Barracuda Threat Spotlight(バラクーダの注目する脅威):ランサムウェアの傾向

Info.

お知らせ

海外ブログ

Barracuda Threat Spotlight(バラクーダの注目する脅威):ランサムウェアの傾向

Barracuda Threat Spotlight(バラクーダの注目する脅威):ランサムウェアの傾向 のページ写真 1

トピック: データ保護メール保護ネットワークおよびアプリケーションセキュリティランサムウェア対策

2021年8月12日、Fleming Shi

ランサムウェアによる攻撃は、2021年に入ってから急増しており、攻撃件数は劇的に増加し、身代金の額も高騰し続けています。また、サイバー犯罪者は標的を拡大しており、重要なインフラに焦点を移し、長期間にわたる壊滅的な被害をもたらす根深いソフトウェアサプライチェーン攻撃キャンペーンに発展しています。

ランサムウェアの今後の見通しは厳しく、金銭的な損害やブランドを揺るがすようなニュースを免れることはできません。 ランサムウェア攻撃者は、信頼できるソフトウェアベンダからITサービスプロバイダーまで、デジタル経済の基盤に侵入しています。

これらの攻撃の多くは、知名度の高い一握りのランサムウェアギャングによって行われています。20208月から20217月の間に発生したランサムウェア攻撃を分析したところ、REvilが攻撃の14%を占め、DarkSideは原因6%となっていることがわかっています。

Ransomware Attackers

今回のThreat Spotlightでは、過去12ヶ月間の攻撃を分析した結果、判明したランサムウェアの攻撃パターンを検証し、予防と復旧に関する考察を紹介します。

脅威のハイライト

ランサムウェア — サイバー犯罪者は、多くの場合、Eメールの添付ファイルやリンクとして配信される悪意のあるソフトウェアを使用してネットワークを感染させ、ランサム(身代金)を支払うまでEメール、データ、その他の重要なファイルをロックします。このような進化した巧妙な攻撃は、大きな被害と金銭的な損害をもたらします。日々の業務を麻痺させ、混乱を引き起こし、ダウンタイム、身代金の支払い、復旧費用、その他の予算外・想定外の出費による経済的損失をもたらします。

最近では、犯罪者はその手口を洗練させ、二重の脅迫スキームを構築しています。犯罪者は、攻撃の前に行う調査に基づいて身代金を要求します。被害者から機密データを盗み出し、そのデータを他の犯罪者に公開したり販売したりしないという約束と引き換えに支払いを要求します。犯罪者は信用できないため、被害者が支払いを済ませた場合でも、数ヶ月後に連絡を受け、盗んだデータを秘密にしておくために再度支払いを要求されることが多いです。ランサムウェアの犯罪者の中には、支払いに応じるもののデータを売ってしまう者もいます。

詳細

過去12ヶ月間にバラクーダの調査担当者が確認および分析したランサムウェアのインシデントは121件で、前年比で64%増加しています。サイバー犯罪者は依然として自治体、医療、教育を重点的に狙っていますが、その他の企業への攻撃も急増しています。

インフラ、旅行、金融サービスなどを含む企業への攻撃は、2020年の調査ではランサムウェア攻撃全体の18%でしたが、20208月から20217月の間は、57%を占めています。インフラ関連のビジネスは、今回調査した攻撃全体の11%を占めています。実際、ランサムウェア攻撃は、一度の攻撃でより多くの企業に到達するソフトウェア・サプライチェーン攻撃へと急速に進化しています。

Threat Spotlight

以前、私たちは、地方自治体が厳しい予算、少数のITスタッフ、旧式のツールなどにより、この種の攻撃に対して必ずしも十分な備えができていないことを紹介しました。しかし、この問題は想像以上に深刻で、特に信頼のおけるソフトウェアベンダが顧客に対する武器として使用され、予想外のソースからの攻撃が驚くべき速さで発生しています。

サイバー犯罪者は、依然として米国内の組織に対してランサムウェアの攻撃を集中的に行っていますが、今回の調査では、ランサムウェアの攻撃が世界中に広がっていることがわかりました。過去12ヶ月間に発生した攻撃のうち、半数弱(44%)が米国の組織を標的にしていました。一方、EMEA(欧州・中東・アフリカ地域)は30%、アジア太平洋地域は11%、南米は10%、カナダ・メキシコは8%となっています。

Ransomware Attacks Country

アプリケーションの脆弱性を利用したランサムウェアの攻撃

ランサムウェアの攻撃パターンも進化しています。サイバー犯罪者は、悪意のあるリンクや添付ファイルに頼ってランサムウェアを配信するのではなく、その戦術をレベルアップさせています。まず、攻撃者はフィッシング攻撃によって認証情報を盗み出し、その盗み出した認証情報を使って、被害者が使用しているWebアプリケーションに挑戦します。アプリケーションが侵害されると、攻撃者はランサムウェアやその他のマルウェアをシステムに侵入させます。これにより、アプリケーションのユーザだけでなく、ネットワークにも感染する可能性があります。

ウェブアプリケーションには、ユーザを在宅勤務可能にするものなど、さまざまな形態があることに注意する必要があります。ITインフラの一部を対象としたWebポータルは、本格的なSaaSアプリケーションと同様に危険です。過去1年間に複数回、攻撃者がアプリケーションの脆弱性を悪用して、アプリケーション・インフラストラクチャを制御し、最終的に最も価値のあるデータを狙って暗号化するという事件が発生しました。

アプリケーション・セキュリティに関する OWASP のトップ 10 の脅威は、いずれも組織のインフラにアクセスするための潜在的なメカニズムです。また、リモートワーカーのためにVPNだけに頼ることは、流出したパスワードによって多くの認証情報がダークウェブ上にさらされていることを考えると、大きなリスクを伴います。例えば、5月にコロニアル・パイプライン社を長期に渡って閉鎖した原因となったランサムウェア攻撃は、ダークウェブで見つけた漏洩したパスワードを使って、ハッカーがVPNアカウントからネットワークにアクセスしたことから始まりました。

身代金の支払いのトレンド

過去数年間に見られたように、身代金の額は劇的に増加しており、現在、1件あたりの平均身代金要求額は1,000万ドルを超えています。 身代金要求額が1,000万ドル未満のインシデントはわずか18%で、3,000万ドル以上のインシデントは30%となっています。

Ransom Demands

仮想通貨が広く普及して以来、ランサムウェアの攻撃が増加し、身代金の金額が高くなるという相関関係が見られます。ビットコインの取り締まりが強化され、取引の追跡が可能になったことで、犯罪者たちは、ビットコインの代わりにモネロを要求するREvilランサムウェアギャングのように、代替の支払い方法を提供し始めています。

しかし、今回の調査では、被害者が交渉術を駆使して身代金の支払いを減らした例も複数確認されました。JBSでは、2,250万ドルの身代金の支払いを1,100万ドルに減額する交渉を行い、ドイツの化学薬品販売会社Brenntagでは、750万ドルの身代金の要求を440万ドルに減額する交渉を行いました。最初の身代金要求が最終的な要求であるとは限らないため、支払いを行う場合、ランサムウェアの被害者は交渉の選択肢を行使することが重要です。その結果、数百万円単位の節約が可能になります。

身代金の支払いを拒否する組織が増えており、それが最初の身代金要求額を引き上げていると考えられます。この傾向は、当局や身代金交渉人との協力関係の強化にもつながっています。FBIは最近、DarkSideのビットコインウォレットを発見し、身代金の支払いの一部を回収することができました。また、当局はランサムウェアグループの関連会社への支払いを停止しました。

これらは、これらのサイバー攻撃との戦いにおける心強い兆候です。法的措置だけでなく、ホワイトハウスが世界のリーダーたちに直接語りかけ、サイバー犯罪者を匿うことに対して厳しい措置を取るよう要求しています。最近のサイバー攻撃、特に重要インフラへの攻撃が注目を集め、大きな影響を与えていることを考えると、米国政府はもはや警告を発するだけではないと考えられます。米国政府は、サイバー犯罪者の取り締まりに共犯や怠慢があったという明確な証拠があれば、国家に対しても重大な行動を起こす用意があるのです。

ランサムウェアからの防御策

ランサムウェアに対抗するための最初のステップは、被害に遭う時期を想定することです。次に必要なことは、身代金を支払わないという目標を設定することです。目標を設定したら、その目標を達成するために、少なくとも以下の3つの手順を実行する必要があります。

  • クレデンシャルの喪失を防ぐためにできる限りのことをする。Eメールやその他のコラボレーションツールにアンチフィッシング機能を実装し、Eメールのセキュリティ意識を高めるためのトレーニングをユーザに一貫して行う。
  • アプリケーションとアクセスを保護する。MFA の使用に加えて、すべての SaaS アプリケーションとインフラのアクセスポイントに Web アプリケーションセキュリティを実装する必要があります。アプリケーションの脆弱性は、アプリケーションコードやアプリケーションインフラに隠れていることが多いため、OWASP トップ 10 の脅威からアプリケーションを保護する必要があります。アプリケーションで API を使用している場合は、OWASP の API セキュリティトップ 10 への対応を確認します。アプリケーションの保護と同時に、ユーザに提供するアクセス量を可能な限り減らすようにしてください。可能であれば、ユーザが生産性を上げるために必要な最小限のアクセスに絞ることができます。エンドポイントセキュリティの姿勢に基づいたゼロトラストアクセスの導入がベストです。
  • データをバックアップする。重要なデータ資産を特定し、災害対策やリカバリ機能を備えた安全なデータ保護ソリューションを導入しましょう。そうすれば、自信を持ってランサムウェアの犯罪者にノーと言えるでしょう。


サイバー犯罪者が将来的に大きな利益を得ようとしている中、セキュリティ業界はあらゆる規模の企業が簡単に利用できるソリューションを開発し続ける必要があります。攻撃者は、大きなターゲットにつながっている小さな組織から始めて、徐々に拡大していくことが多いのです。また、製品が複雑すぎて特定の市場に受け入れられないのであれば、高度な技術や製品を、高価で希少なセキュリティ人材を必要としないサービスに変えていく必要があります。

ウェビナー: The Three Stages of Ransomware: Threat Spotlight Findings and Analysis


原文はこちら:
Threat Spotlight: Ransomware trends
August 12, 2021 Fleming Shi
https://blog.barracuda.com/2021/07/28/spear-phishing-report-attackers-evolving-tactics-and-targets/

関連記事