ランサムウェアは「マルウェア問題」ではなく、犯罪ビジネスモデルである

By

Category: Ransomware, Reports, Threat Brief, Threat Prevention, Unit 42

Tags:

This post is also available in: English (英語)

本日、Unit 42はランサムウェアに関する最新の報告書を発表しました。

ランサムウェアは、急速に、世界中の組織が直面している最大のサイバー脅威のひとつになりました。組織の運営に甚大な被害をもたらすばかりでなく、ビジネス モデルとして、サイバー犯罪者にとっては、収益を生み出すのに効率の高いものであることが実証されています。多くのランサムウェアは被害者に偏りがなく、世界中の主要な業種すべてに影響を及ぼしています。中小の組織、大企業、個々のホーム ユーザー、このいずれもが標的になる恐れがあります。

ランサムウェアは何十年もの間にさまざまな形で存在してきましたが、ここ3年間で犯罪者たちは攻撃の要となる構成要素を完璧に近いものにしました。この結果、新型マルウェア ファミリが爆発的に発生し、攻撃手法が思い通りに通用する、この実入りのいい仕組みに加わろうとする新参の攻撃者を引き寄せています。

ランサムウェア攻撃を首尾よく行うために攻撃者は以下のことができなければなりません。

  1. システムまたはデバイスを支配下に置く
  2. 支配下に置かれたデバイスに対してその所有者が部分的にアクセスできない、もしくは全くアクセスできないようにする
  3. デバイスが人質として捕えられてしまったことをデバイスの所有者に通知する。
    その際、お金の支払い方法と金額について指定する
  4. デバイスの所有者から支払いを受け取る
  5. 支払いを受けたら、デバイスの所有者にアクセス権を完全に戻す

攻撃者は、このステップのどこで失敗しても、仕組みはうまく働かなくなります。ランサムウェアの概念が存続して数十年経ちますが、この5つのステップをすべて大規模に遂行するのに必要な技術と手法は、ほんの数年前まで、手に入れることが不可能でした。この仕組みを使った攻撃の結果として生じたうねりは、世界中の組織に衝撃を与えています。多くの組織ではこうした攻撃を成功させないようにする態勢が整っていませんでした。

私たちが本日公開した報告書では、ランサムウェアの歴史、およびいかにして攻撃者たちがこれまで何年もかけてこのビジネス モデルを思惑通りにしようとしてきたかについて詳細を論じています。また、以下の傾向を含め、将来のランサムウェア攻撃から予想できることについても徹底的に調べています。

1.より多くのプラットフォーム

ランサムウェアはすでにWindowsデバイスからAndroidデバイスへ移行してきており、ときにはMac OS Xを標的としている場合もあります。攻撃を受ける心配のないシステムは存在せず、攻撃者がランサム用に保持できるデバイスであれば何でも、将来的に標的にされます。

この概念は、「IoT(Internet of Things)」の成長に伴ってさらに当てはまるようになってきました。攻撃者はインターネット接続された冷蔵庫に侵入できるかもしれませんが、その感染を収入源に変えるのは困難です。しかし、ランサムウェア ビジネス モデルは、この場合にも、攻撃者がランサム攻撃を成功させるための5つの手順をすべて達成できる他のあらゆる場合に適用できます。冷蔵庫に感染した後、攻撃者はリモートで冷却システムを無効にし、被害者がいくらか支払った後にのみ再度有効にすることができます。

2.より高額な身代金

単一システムのランサムウェア攻撃の大半は、$200~$500の身代金を請求しますが、価格がかなり高額な場合もあります。攻撃者は、貴重な情報が保存されたシステムに侵入したこと、さらに、感染した組織の支払い能力が高いことを判別できる場合には、それに応じて身代金を引き上げます。私たちは、すでに、2016年に注目を集めた多数のランサム攻撃の中でこれを目撃しています。それは、病院が標的とされ、支払った身代金は$10,000を遥かに超えていました。

3.標的型ランサムウェア攻撃

標的を定めたネットワークへの侵入は、さまざまな意味で攻撃者にとって貴重です。盗んだ情報を販売したり、それに基づいて活動したりするのは一般的な手法ですが、それには通常、その情報を現金化するための追加の「バックエンド」インフラストラクチャと計画が必要です。標的型ランサムウェア攻撃は、侵入をどうすれば収益化できるかわからない攻撃者にとって代替手段となります。いったんネットワーク内に入り込めば、攻撃者は高価値のファイル、データベース、バックアップ システムを特定し、その後、一度にすべてのデータを暗号化できます。SamSaマルウェアを使用したこれらの攻撃はすでにネット上で特定されており、それらを実行している攻撃者にとって利益率が高いことも実証されています。

Ransomware: Unlocking the Lucrative Criminal Business Model」のコピーをダウンロードして、ランサムウェア攻撃を阻止するための手法を学習してください。