これまでに発生した最大のランサムウェア攻撃

ランサムウェアは、2017 年から 2018 年にかけて、サイバースペースの風景を支配し続けています。ビジネスの規模の大小を問わず、これらの攻撃により、ハイジャックされた独自の暗号化ファイルのロックを解除するためにユーザーに数百万ドルを支払うよう迫られています。ビットコインのような仮想通貨の急増は、トレーサビリティの手がかりを残さず、デジタル恐喝によって収益性のピラミッドを成長させ、ランサムウェアを個人や企業にとって真の脅威にしました.報告によると、個人は 10 秒ごとに攻撃を受け、企業は 40 秒ごとに攻撃されています。最近では、技術的な知識があまりない人でも、オンラインで恐怖を広めるためにランサムウェアの亜種を模倣しようとしています。

この脅威が沈静化する可能性は低いため、これまでに出現した非常に破壊的なランサムウェア攻撃を見てみましょう.

最大のランサムウェア攻撃

• ガンドクラブ

  これは 2018 年で最も著名なランサムウェアであり、今では膨大な数に広がっています。ユーザーが自分のデータにアクセスすることを制限する従来の方法とは別に、GandCrab はそうするための新しい手法を思いつきました。システムへのマルウェアの処理後、GandCrab はすべてのファイルを .GDCB 拡張子で暗号化し (たとえば、beach.jpg は暗号化され、beach.jpg.GDCB に名前が変更されます)、暗号化プロセスの直後に GandCrab は復号化ファイル GDCB​​- を生成します。 DECRYPT.txt には、現在のシナリオに関する情報と、次のステップ (復号化) の指示が含まれています。データを復号化するには、被害者は TOR ブラウザの Web ページにアクセスし、GandCrab の開発者が処理するリモート サーバーに保存されている復号化キーを取得する必要があります。支払いが成功すると、復号化キーが解放されるはずです。

• ワナクライ

WannaCry はおそらくこれまでで最も有名なランサムウェア攻撃であり、その影響力は 150 か国以上に広がり、英国の国民保健サービスを含む注目を集める標的となっています。 WannaCry マルウェアは、ファイルを暗号化/復号化するアプリケーション、暗号化キーを構成するファイル、IP アドレスを追跡できないようにする tor ブラウザーのコピーなど、いくつかのコンポーネントで構成される「ドロッパー」の形でシステムに侵入します。ハッカーは、限られた時間内に何百ものビットコインで身代金を要求し、データを失うと脅して切迫感を生み出しました。このランサムウェアの最初の拡散は、Microsoft の SMB (サーバー メッセージ ブロック) で発生しました。これは通常、閉じたネットワークに接続されているコンピューター間でファイルを共有するために使用されますが、1 台のコンピューターがパブリック ネットワークに接続されている場合に悪用される可能性があります。したがって、SMB のノードに接続されたすべてのシステムは、この攻撃に対して脆弱になりました。

関連項目: SpriteCoin に注意してください:ランサムウェアです!

• ゴールデンアイ

NotPetya としても知られる GoldenEye ランサムウェア攻撃は、FedEx、Merck、Cadbury、AP Moller-Maersk などの数十億ドル規模の企業のシステムに群がりました。これらの企業の総純資産は 1,300 億ドルです。ハッカーは、乗っ取られたコンピューターごとに 300 ドル以上を要求したに違いありませんが、これらのハッカーの主な目的はデータを破壊することでした。 GoldenEye は、コンピューター上の重要なファイルを暗号化し、重要な資格情報を盗み、ハード ドライブも押収する Petya ファミリー (したがって、NotPetya と呼ばれる) に属します。 GoldenEye と比較すると、WannaCry はかなり基本的なものでした。GoldenEye はデータを押収するだけでなく、コンピュータを強制的に再起動させ、同時にすべてのログを削除して、これらのハッカーを追跡することを不可能にします.このランサムウェアの背後にあるマルウェアの侵入は、ネットワーク上の何者かによって、電子メールまたはロードされた Word 文書でだまされて実行される可能性があります。ついに、このマルウェアはこれまでで最も賢いものになりました.

• クリプトロッカー

Cryptolocker はランサムウェアの従来のモデルで動作し、トロイの木馬がシステムに侵入し、最終的にシステム上のすべての重要なファイルを暗号化し、ハッカーはファイルの復元に必要な復号化キーを提供するために 300 ドルを要求しました。実際のプロセスでは、メールの添付ファイルとして本物のように見えるパスワードで保護された ZIP ファイルをユーザーに実行させるソーシャル エンジニアリング手法が選択されました。ユーザーがこのファイルを開くと、トロイの木馬がバックグラウンドで自動的に実行され、暗号化するファイルごとに個別に対称キーが生成されます。暗号化モードは RSA 2048 ビットでした。

• zCrypt

zCrypt は、ウイルスのように振る舞う親切な OS ランサムウェアです。電子メールやダウンロードを介して拡散する他のランサムウェア攻撃とは異なり、これは USB スティックを介してさまざまなコンピューターに拡散する経路をたどります。ターゲットに到達した直後に、autorun.inf としてファイルを生成します。 感染した USB スティックが別のシステムに接続されたときに自動的に実行されます。攻撃者はすべてのデータを暗号化した後、4 日以内に支払いを要求します。この特定の期間の後、身代金は増加し、7 日以内に支払いが行われない場合、ハッカーのサーバーに保存されている復号化キーは破棄されます。 (2016 年 1 月の攻撃によると)。

zCrypt の主な欠点は、ユーザーが攻撃者によって盗まれたデータをあきらめたとしても、システムを使用できないことです。 zCrypt は既存のデータを暗号化した後も停止しないため、特定のファイルも暗号化できるように、ファイルの変更や新しいファイルのユーザーが作成したかどうかを監視し続けます。マルウェアが完全に削除された後にのみ解放されます。

上記のすべての攻撃とは別に、Quant Loader として知られる脅威またはトロイの木馬を含む悪意のある添付ファイルを配信する最新の電子メール攻撃について話します。 .ランサムウェアやパスワードを盗むソフトウェアをインストールできます。この新しい攻撃は、ハッカーがゲートウェイ セキュリティ機能に侵入することを可能にする Internet Explorer の 2 年前の脆弱性を破っています。

しかし今回、攻撃者は Web ブラウザではなく Samba を利用してファイルやドキュメントをダウンロードするという別のアプローチをとっています。したがって、セキュリティ機能を完全にバイパスします。この電子メールは、請求明細書と、.zip ファイルを含む添付ファイルのみの空の電子メールであることが検出されました。これらの zip ファイルには、Quant Loader にファイルをインストールさせる Windows スクリプト ファイル (.wsf) が含まれていますが、Samba を使用してインストールするには、https:// アドレスではなく file:// を使用します。

組織を安全に保つために IT 管理者ができること

以下は、ランサムウェア攻撃のリスクを最小限に抑えるために組織をプロアクティブに保護するためのヒントです。

• 2 段階認証プロセスの使用 – フィッシング キャンペーンは最近でも非常に効果的であり、従業員が被害を最小限に抑えるのに非常に役立ちます。認証情報を紛失したり盗まれたりした場合でも、2 段階認証によって被害をある程度抑えることができます。
• すべての機密データを暗号化 – すべての企業が一度でもデータ侵害の問題に遭遇したことがあります。すべての重要な情報を暗号化すると、データがすべて暗号化されているとハッカーがそれを使用できなくなり、盗まれた場合に役立ちます。
• 物理的なセキュリティにも注意してください – データはオフラインでも盗まれる可能性があります。組織に監視カメラを使用することは不可欠です。そのため、誰も立ち入り禁止区域に立ち入ることができず、会社のデータを盗んだり改ざんしたりすることはできません。
• 最も脆弱な攻撃源を確保する – 電子メールは、ランサムウェア攻撃の最も発生しやすいソースです。ほとんどの場合、これらの攻撃は、感染した添付ファイルを含む通常の電子メールでトリガーされます。マルウェアを含む写真、ビデオ、ドキュメント、YouTube リンク、その他のファイルなど。メールが実際にあなたのものであることを知っているか、送信者を直接知っている場合を除き、 &まで開かないでください。不明なメールを受信した場合は、会社のデータ セキュリティ アドバイザーに連絡してください。そして、そのメールをすぐに削除してください。
• 従業員を賢くする – あなたとあなたの組織にとってのサイバーセキュリティの重要性について、従業員をトレーニングします。そして最も重要なことは、攻撃の兆候を示し、それに応じて対応する方法を彼らに教えることです。
• 注意してください – 攻撃が発生するのを待つのではなく、用心深く、法執行機関からのデータ侵害について学びましょう。ログ ファイルを活用して、攻撃やセキュリティの問題の兆候を早期に特定する

攻撃を展開しますか?

すべてのデータのクローンをローカル バックアップ サーバーに保存するなどの過去のソリューションに従うのは時代遅れです。問題が大規模なサイトの停止でない限り、ほとんどの場合、組織がデータベースを迅速に回復するのに役立ちます.一方、現在、クラウドはこの業界に悪影響を及ぼしています。バックアップ サーバーとメイン サーバーの間でファイルを共有したい場合に非常に簡単になるからです。実際、侵入される可能性のあるインターネット接続を介してファイルを共有することを心配する必要はありません.ただし、ランサムウェアは時間とともに成熟し、メイン サーバーだけでなくバックアップ サーバーも破壊する独自の方法と戦術を備えています。

この特定の問題に対する今日の解決策は、人工知能ベースの 機械学習 を採用することです テクノロジー。 ML の助けを借りて、開発者は過去のランサムウェア攻撃のデータベースの下でトレーニングできます。そして、すべてを機械学習プロセスに任せて、以前の攻撃と関連付けて、新しい亜種を迅速に理解して防御します。

これまで見てきたことから、ランサムウェアは時間とともに増加し、より大きな影響を与える攻撃です。組織は、電子メールのスキャン、ダウンロードのフィルタリング、システムの更新などの通常の措置を講じる代わりに、これらのハッカーに多額の支払いを続けるでしょう。