ランサムウェア ウイルスは、他の種類のマルウェアと同様、長年にわたって進化し、変化します。ユーザーがシステムにログインできないようにする単純なロッカーや、架空の法律違反で訴追を脅かす「警察」ランサムウェアから、暗号化プログラムにたどり着きました。 これらのマルウェアは、ハード ドライブ (またはドライブ全体) 上のファイルを暗号化し、システムへのアクセスを取り戻すためではなく、ユーザーの情報が削除されない、ダークネットで販売されない、オンラインで一般に公開されないという事実に対して身代金を要求します。 。 さらに、身代金を支払ったからといって、ファイルを復号化するためのキーを確実に受け取れるわけではありません。 いや、これは「XNUMX年前にすでに起こっていた」ことですが、それでも現在の脅威です。
ハッカーの成功とこの種の攻撃の収益性を考慮すると、専門家は、その頻度と創意工夫は今後さらに増加すると考えています。 による
トレンドマイクロのスペシャリストは、2019 年前半のランサムウェア ウイルスを使用した攻撃を分析しました。この記事では、後半に世界を待ち受ける主な傾向について説明します。
ランサムウェア ウイルス: 簡単な文書
ランサムウェア ウイルスの意味は、その名前そのものから明らかです。ユーザーの機密情報や貴重な情報を破壊 (または逆に公開) すると脅迫し、ハッカーはこれを利用してアクセスを戻すための身代金を要求します。 一般のユーザーにとって、このような攻撃は不快なものですが、重大ではありません。音楽コレクションや過去 XNUMX 年間の休暇中の写真が失われるという脅威は、身代金の支払いを保証するものではありません。
組織ごとに状況はまったく異なります。 ビジネスのダウンタイムは XNUMX 分ごとにコストがかかるため、現代の企業にとってシステム、アプリケーション、またはデータへのアクセスの喪失は損失に相当します。 そのため、近年のランサムウェア攻撃の焦点は、ウイルスの砲撃から活動の縮小に徐々に移行し、身代金を受け取る可能性とその規模が最も大きい活動分野の組織を標的とした襲撃に移行しています。 一方、組織は主に XNUMX つの方法で脅威から身を守ろうとしています。XNUMX つは攻撃後にインフラストラクチャとデータベースを効果的に復元する方法を開発すること、もう XNUMX つはマルウェアを検出して即座に破壊する最新のサイバー防御システムを採用することです。
最新の状態を維持し、マルウェアと戦うための新しいソリューションとテクノロジーを開発するために、トレンドマイクロはサイバーセキュリティ システムから得られた結果を継続的に分析しています。 トレンドマイクロによると
2019 年の被害者の選択
今年、サイバー犯罪者は明らかに、被害者をより厳選するようになりました。彼らは、保護が不十分で、通常の業務を迅速に回復するために多額の費用を支払うことをいとわない組織をターゲットにしています。 そのため、今年の初め以来、レイクシティ (身代金 - 530 万米ドル) やリビエラビーチ (身代金 - 600 万米ドル) など、政府機関や大都市の管理機関に対するいくつかの攻撃がすでに記録されています。
業界別に分類すると、主な攻撃ベクトルは次のようになります。
— 27% — 政府機関。
— 20% — 生産。
— 14% — ヘルスケア。
— 6% — 小売業。
— 5% — 教育。
サイバー犯罪者は、攻撃の準備やその収益性の評価に OSINT (パブリック ソース インテリジェンス) を使用することがよくあります。 情報を収集することで、組織のビジネス モデルと、組織が攻撃によって被る可能性のある風評リスクをよりよく理解できます。 ハッカーはまた、ランサムウェア ウイルスを使用して完全に隔離または無効化できる最も重要なシステムやサブシステムも探します。これにより、身代金を受け取る可能性が高まります。 最後に重要なことですが、サイバーセキュリティ システムの状態が評価されます。IT スペシャリストが高い確率で攻撃を撃退できる企業に攻撃を仕掛けても意味がありません。
2019 年下半期も、この傾向は依然として続くでしょう。 ハッカーは、ビジネス プロセスの中断が最大の損失につながる新たな活動領域 (輸送、重要インフラ、エネルギーなど) を見つけるでしょう。
侵入と感染の方法
この分野でも常に変化が起こっています。 最も人気のあるツールは依然としてフィッシング、Web サイトや感染したインターネット ページ上の悪意のある広告、およびエクスプロイトです。 同時に、攻撃の主な「共犯者」は依然として、これらのサイトを開いてリンクまたは電子メールからファイルをダウンロードする従業員ユーザーであり、組織のネットワーク全体のさらなる感染を引き起こします。
ただし、2019 年後半には、これらのツールが以下に追加される予定です。
- ソーシャルエンジニアリングを使用した攻撃のより積極的な使用(被害者がハッカーの望む行動を自発的に実行したり、組織の経営陣や顧客と通信していると信じて情報を提供したりする攻撃)これにより、公的に入手可能な情報源からの従業員に関する情報の収集が簡素化されます。
- 盗まれた資格情報(ダークネットで購入できるリモート管理システムのログインとパスワードなど)の使用。
- 物理的なハッキングと侵入により、オンサイトのハッカーが重要なシステムを発見し、セキュリティを破ることができます。
攻撃を隠す方法
トレンドマイクロを含むサイバーセキュリティの進歩のおかげで、近年、古典的なランサムウェア ファミリの検出がはるかに簡単になりました。 機械学習と動作分析テクノロジーは、マルウェアがシステムに侵入する前に特定するのに役立つため、ハッカーは攻撃を隠す別の方法を考え出す必要があります。
IT セキュリティの分野の専門家やサイバー犯罪者の新技術はすでに知られていますが、その目的は、疑わしいファイルや機械学習システムの分析、ファイルレス マルウェアの開発、サイバーセキュリティ ベンダーのソフトウェアやさまざまなリモート サービスを含む感染したライセンス ソフトウェアの使用を目的としたサンドボックスの無力化です。組織のネットワーク。
結論と提言
一般的に、2019 年後半には、サイバー犯罪者に多額の身代金を支払う能力のある大規模組織に対する標的型攻撃が発生する可能性が高いと言えます。 ただし、ハッカーが必ずしもハッキング ソリューションやマルウェアを自ら開発するとは限りません。 たとえば、悪名高い GandCrab チームなどは、すでに
このような状況では、ランサムウェア ウイルスと戦う唯一の効果的な方法は、身代金を支払って作成者から利益源を奪うことではないため、組織はサイバーセキュリティ システムと攻撃に備えたデータ回復スキームを常に更新する必要があります。
出所: habr.com