※本記事は、Bardによる意訳+翻訳を活用し、レイアウト調整したものです。
※感想は、オリジナルです。
原文
2023年に急増した新しいランサムウェア - WithSecureのヒッポネン氏が解説 | TECH+(テックプラス)
意訳+要約
2023年ランサムウェア脅威の傾向
2023年は新たなランサムウェアの登場により、ランサムウェア攻撃が急増した。
データリークの50%以上は、2023年に活動を開始した新規ランサムウェアグループによるものだった。
利用者と開発者の分業により、リサイクルされたランサムウェアが増加している。
ランサムウェアの新たな巨人
- 8Base:Phobos lockerを大幅に改造したものを使用。IABで侵入し、マルウェアのSmokeLoaderを仕掛ける。
- Akira:前身のグループであるContiとの共通点が見られる。Contiの利用者が以前使用していた暗号ウォレットを再利用。
新型ランサムウェアの特徴
- Cactus:実行前に復号化するための鍵を必要とし、アンチウイルスでは検出されにくい鍵はntuser.datというファイルに保存される。
- CatB:MSDTCを介して、DLLをハイジャックしてランサムウェアのペイロードを抽出し起動する。
- Cyclops/Knight:スプレー&プレイキャンペーン用に設計されたライトバージョンを含む、2つのバージョンのロッカー。
- Dark Power:暗号化の速さで知られるNimで書かれ、8ページのPDFファイルの身代金要求書。
- Malas Locker:チャリティへの寄付を被害者に要求する。
- Rorschach:暗号化速度の競争に勝つことだけを目的に作成された可能性がある。
今後のランサムウェア脅威
- 既知のマルウェアはEPPで保護、パッチの当て忘れや未知のマルウェアはEDRで検知する。
- マルウェアキャンペーンの完全自動化が進む可能性がある。
- ランサムウェア攻撃の型は新しくなっても、攻撃のバリエーションの変化は小さい。
コメント
- ランサムウェアの脅威は依然として深刻であり、新たなランサムウェアの登場により、さらに増加する可能性がある。
- 既知のマルウェアだけでなく、未知のマルウェアにも対応できるセキュリティ対策を講じることが重要である。
- マルウェアキャンペーンの完全自動化が進むと、防御側はさらに厳しい状況に置かれることになる。
- 攻撃のバリエーションの変化は小さいとはいえ、ランサムウェア攻撃は常に最新の脅威情報を把握し、適切な対策を講じることが重要である。
Bardさんに聞いてみた
Q:防御する側って不利じゃない?
ランサムウェア攻撃においては、防御する側は攻撃する側に比べて不利な状況にあると言えます。
攻撃側は、ランサムウェアの開発や攻撃手法の研究に専念することができます。一方、防御側は、ランサムウェア攻撃の被害を最小限に抑えるため、さまざまなセキュリティ対策を講じる必要があります。これらのセキュリティ対策には、多額のコストや人的リソースが必要となるため、防御側は攻撃側に比べて不利な立場に置かれています。
また、攻撃側は、常に新しいランサムウェアや攻撃手法を開発しています。防御側は、これらの新たな脅威に対応するために、常にセキュリティ対策を見直す必要があります。しかし、攻撃側の動きが速いため、防御側が常に最新の脅威に対応することは困難です。
さらに、ランサムウェア攻撃は、サイバー攻撃の中でも特に被害が大きく、企業の経営に深刻な影響を与える可能性があります。そのため、防御側は、ランサムウェア攻撃の被害を未然に防ぐことや、被害を最小限に抑えることに注力する必要があります。
しかし、ランサムウェア攻撃の完全な防御は現実的ではありません。そのため、防御側は、ランサムウェア攻撃の被害を最小限に抑えるための対策を講じることが重要です。
具体的には、以下の対策が有効です。
- 最新のセキュリティパッチを適用する
- マルウェア対策ソフトを導入する
- 二要素認証を導入する
- バックアップを定期的に実施する
- データの暗号化を行う
- 従業員のセキュリティ教育を行う
これらの対策を講じることで、ランサムウェア攻撃の被害を軽減することができます。
Q:攻撃のバリエーションには、どんなものがあるの?
フィッシング
フィッシングは、メールやSMSなどの手段で、被害者に偽のリンクやファイルを開かせ、マルウェアに感染させる攻撃です。ランサムウェア攻撃では、フィッシングによって感染したマルウェアが、ランサムウェアを実行してデータを暗号化します。ゼロデイ攻撃
ゼロデイ攻撃は、まだパッチが提供されていない脆弱性を悪用する攻撃です。ランサムウェア攻撃では、ゼロデイ攻撃によって脆弱性を突かれ、ネットワークに侵入された後に、ランサムウェアを実行してデータを暗号化します。RaaS
RaaS(Ransomware as a Service)は、ランサムウェアの開発や運用をサービスとして提供する仕組みです。攻撃者は、RaaSを利用することで、ランサムウェアの開発や運用に必要な知識や技術を身につけることなく、ランサムウェア攻撃を実行することができます。マルウェアの改良
攻撃者は、常に新しいランサムウェアや攻撃手法を開発しています。マルウェアの改良によって、検知を回避したり、データの復号を困難にしたりすることが可能になります。二重脅迫
二重脅迫は、データの暗号化に加えて、データを公開すると脅迫する攻撃です。二重脅迫によって、被害者は身代金の支払いに応じざるを得なくなる可能性があります。
これらの攻撃バリエーションに加えて、攻撃者は常に新しい攻撃手法を開発しています。そのため、ランサムウェア攻撃の最新の脅威情報を把握し、適切な対策を講じることが重要です。
Q:ランサムウェアの被害情報ってどこかにある?
セキュリティベンダーのWebサイトやブログ
セキュリティベンダーは、ランサムウェアの被害情報も含めた最新の脅威情報をWebサイトやブログで公開しています。セキュリティベンダーのWebサイトやブログを定期的にチェックすることで、ランサムウェアの被害情報を確認することができます。ランサムウェアに関するレポートやニュース
ランサムウェアに関するレポートやニュースは、セキュリティベンダーや政府機関、研究機関などから発行されています。ランサムウェアに関するレポートやニュースを定期的にチェックすることで、ランサムウェアの被害情報を確認することができます。業界団体やコミュニティ
業界団体やコミュニティでは、ランサムウェアの被害情報についての情報交換が行われています。業界団体やコミュニティに参加することで、ランサムウェアの被害情報を確認することができます。
具体的には、以下の情報源が参考になります。
WithSecure
WithSecureは、ランサムウェアの被害情報を定期的に公開しています。JPCERTコーディネーションセンター
JPCERTコーディネーションセンターは、ランサムウェアに関する最新の脅威情報を公開しています。ランサムウェア情報共有プラットフォーム
ランサムウェア情報共有プラットフォームは、ランサムウェアの被害情報や対策情報などを共有するプラットフォームです。
ランサムウェアの被害情報は、ランサムウェアの脅威を理解し、適切な対策を講じるために重要です。
感想+雑記
ランサムウェアって被害にあったことがないから、実感がわかないってのが本音。
情報自体は収集してるけど、具体的に何をすれば?って感じることが多い。
人間の起因のものを突いてくるようなやつは、注視してる。
毎回思うんだけど、これって、明らかに防御側が不利だよな。。。
どうやって攻めの守りをするのかが重要な気がする。
記事を読むと、バリエーションは、変わってないが、手法が変わって来ているらしいな。
基礎を抑えることが、どの分野においても重要だと言える。