ランサムウェアはデータ漏洩を組織化する新しい方法です

データ漏洩はセキュリティ サービスにとって厄介な問題です。そして現在、ほとんどの人が在宅勤務をしているため、漏洩の危険性はさらに高まっています。有名なサイバー犯罪グループが、時代遅れで安全性が不十分なリモート アクセス プロトコルにますます注目しているのはこのためです。そして興味深いことに、今日ではランサムウェアに関連したデータ漏洩が増えています。どのように、なぜ、そしてどのように - カットの下を読んでください。

ランサムウェアの開発と配布は、それ自体が非常に収益性の高い犯罪ビジネスであるという事実から始めましょう。たとえば、アメリカのFBIによると、 ソディノキビグループ 過去 1 年間、彼女は月に約 3 万ドルを稼ぎました。そして、Ryuk を利用した攻撃者はさらに多くの収入を得ていました。グループの活動開始時には、彼らの収入は月あたり XNUMX 万ドルに達していました。したがって、多くの最高情報セキュリティ責任者 (CISO) がビジネス リスクのトップ XNUMX の XNUMX つにランサムウェアを挙げているのも不思議ではありません。

シンガポールにあるアクロニス サイバー プロテクション オペレーション センター (CPOC) は、ランサムウェア分野でのサイバー犯罪の増加を確認しています。 20 月後半には、世界中で通常より XNUMX% 多くのランサムウェアがブロックされました。わずかに減少しましたが、XNUMX 月に入って再び活動が増加しています。これにはいくつかの理由があります。

被害者のコンピュータに侵入する

セキュリティ技術は進化しているため、攻撃者は特定のシステムに侵入するために戦術を多少変更する必要があります。標的型ランサムウェア攻撃は、巧妙に設計されたフィッシングメール (ソーシャル エンジニアリングを含む) を通じて広がり続けています。しかし、最近、マルウェア開発者はリモート ワーカーに大きな注目を集めています。これらを攻撃するには、RDP や脆弱性のある VPN サーバーなど、保護が不十分なリモート アクセス サービスを見つけることができます。
これが彼らのやることなのです。ダークネット上には、選択した組織や個人を攻撃するために必要なものすべてを提供するサービスとしてのランサムウェアさえ存在します。

攻撃者は企業ネットワークに侵入し、攻撃範囲を拡大する方法を模索しています。したがって、サービス プロバイダーのネットワークに感染しようとする試みが一般的な傾向になっています。現在、クラウド サービスの人気が高まっているため、人気のあるサービスに感染すると、一度に数十、場合によっては数百の被害者を攻撃することが可能になります。

Web ベースのセキュリティ管理またはバックアップ コンソールが侵害された場合、攻撃者は保護を無効にし、バックアップを削除し、マルウェアを組織全体に拡散させる可能性があります。ちなみに、専門家が多要素認証を使用してすべてのサービス アカウントを慎重に保護することを推奨しているのはこのためです。たとえば、すべての Acronis クラウド サービスでは二重保護をインストールできます。パスワードが侵害された場合、攻撃者は包括的なサイバー保護システムを使用する利点をすべて無効にすることができるためです。

攻撃範囲の拡大

大切な目標が達成され、マルウェアがすでに企業ネットワーク内に存在している場合、通常はさらに標準的な戦術がさらなる配布に使用されます。攻撃者は状況を調査し、脅威に対抗するために社内に作られた障壁を乗り越えようと努めます。攻撃のこの部分は手動で行うことができます（結局のところ、すでに網に落ちている場合、餌はフックにかかっています！）。このために、PowerShell、WMI PsExec、さらに新しい Cobalt Strike エミュレータやその他のユーティリティなどのよく知られたツールが使用されます。一部の犯罪グループは、企業ネットワークに深く侵入するためにパスワード マネージャーを特にターゲットにしています。また、最近、Ragnar などのマルウェアが VirtualBox 仮想マシンの完全に閉じられたイメージで確認されており、マシン上の外部ソフトウェアの存在を隠すのに役立ちます。

したがって、マルウェアが企業ネットワークに侵入すると、ユーザーのアクセス レベルをチェックし、盗んだパスワードを使用しようとします。 Mimikatz や Bloodhound & Co などのユーティリティドメイン管理者アカウントのハッキングに協力します。そして、攻撃者が配布オプションが使い果たされたと判断した場合にのみ、ランサムウェアがクライアント システムに直接ダウンロードされます。

隠れ蓑としてのランサムウェア

データ損失の脅威の深刻さを考慮して、いわゆる「災害復旧計画」を実施する企業が年々増えています。このおかげで、暗号化されたデータについてあまり心配する必要がなく、ランサムウェア攻撃が発生した場合でも、身代金の収集を開始するのではなく、回復プロセスを開始します。しかし、攻撃者も眠っていません。ランサムウェアを装って大規模なデータ盗難が発生します。メイズは 2019 年にこのような戦術を初めて一斉に使用しましたが、他のグループも定期的に組み合わせて攻撃を行っていました。現在、少なくとも Sodinokibi、Netfilm、Nemty、Netwalker、Ragnar、Psya、DoppelPaymer、CLOP、AKO、Sekhmet が暗号化と並行してデータ窃盗を行っています。

場合によっては、攻撃者が企業から数十テラバイトのデータを吸い出すことに成功することがありますが、そのデータはネットワーク監視ツール (インストールされ構成されていれば) によって検出されていた可能性があります。結局のところ、ほとんどの場合、データ転送は単に FTP、Putty、WinSCP、または PowerShell スクリプトを使用して行われます。 DLP およびネットワーク監視システムを克服するには、データを暗号化するか、パスワードで保護されたアーカイブとして送信することができます。これは、そのようなファイルの送信トラフィックをチェックする必要があるセキュリティ チームにとって新たな課題です。

情報窃取者の行動を研究すると、攻撃者がすべてを収集しているわけではなく、財務報告書、顧客データベース、従業員と顧客の個人データ、契約書、記録、法的文書のみに興味があることがわかります。このマルウェアはドライブをスキャンして、理論上脅迫に使用される可能性のある情報を探します。
このような攻撃が成功すると、攻撃者は通常、組織からデータが漏洩したことを確認するいくつかの文書を示す小さなティーザーを公開します。また、一部のグループは、身代金の支払い期限がすでに切れている場合、Web サイトでデータセット全体を公開します。ブロックを回避し、広範囲を確実にカバーするために、データは TOR ネットワークでも公開されます。

収益化するもう 50 つの方法は、データを販売することです。たとえば、Sodinokibi は最近、データが最高入札者に送られる公開オークションを発表しました。このような取引の開始価格は、データの品質と内容に応じて 100 ～ 10 ドルです。たとえば、000 件のキャッシュ フロー記録、ビジネスの機密データ、スキャンされた運転免許証のセットはわずか 100 ドルで販売され、000 ドルで 50 件以上の財務書類と会計ファイルと顧客データの 000 つのデータベースを購入できます。

リークが公開されるサイトは多岐にわたります。これは、盗まれたすべてのものを単に掲載する単純なページである場合もありますが、セクションや購入の可能性を備えたより複雑な構造もあります。しかし重要なことは、それらはすべて同じ目的、つまり攻撃者が実際のお金を手に入れる可能性を高めることです。このビジネスモデルが攻撃者にとって好成績を収めれば、同様のサイトがさらに増え、企業データを盗んで収益化する手法がさらに拡大することは間違いない。

データ漏洩を公開している現在のサイトは次のようなものです。

新たな攻撃をどうするか

このような状況におけるセキュリティ チームにとっての主な課題は、最近、ランサムウェアに関連したインシデントが、単なるデータ盗難からの妨害であることが判明することが増えていることです。攻撃者はサーバー暗号化のみに依存しなくなりました。それどころか、主な目標は、ランサムウェアと戦っている間に漏洩を組織することです。

したがって、適切な復旧計画を立てていたとしても、バックアップ システムを単独で使用するだけでは、多層の脅威に対抗するには十分ではありません。いいえ、もちろん、バックアップ コピーなしで行うことはできません。攻撃者は間違いなく何かを暗号化し、身代金を要求するからです。むしろ重要なのは、ランサムウェアを使用したすべての攻撃をトラフィックの包括的な分析の理由として考慮し、攻撃の可能性について調査を開始する必要があるということです。また、次のような追加のセキュリティ機能についても検討する必要があります。

• AIを使用して攻撃を迅速に検出し、異常なネットワークアクティビティを分析します
• ゼロデイ ランサムウェア攻撃からシステムを即座に回復し、ネットワーク アクティビティを監視できるようにします。
• 企業ネットワーク上での従来のマルウェアや新しいタイプの攻撃の拡散をブロックします。
• ソフトウェアとシステム (リモート アクセスを含む) を分析して、現在の脆弱性とエクスプロイトを検出します
• 企業の境界を越えた未確認情報の転送を防止する

登録ユーザーのみがアンケートに参加できます。 ログインお願いします。

ランサムウェア攻撃中のバックグラウンド アクティビティを分析したことがありますか?

• 視聴者の３８%がはい1

• 視聴者の３８%がNo4

5 人のユーザーが投票しました。 2名のユーザーが棄権した。

出所： habr.com