What is Double Extortion Ransomware?

当初、ランサムウェアはデータ損失の脅威を利用して、被害者に身代金の要求を支払わせました。 これは、組織のシステム上のデータを暗号化し、復号化キーを提供するために身代金を要求することで実現しました。

ただし、この手法の有効性は、一部の組織が身代金を支払うことなくバックアップからデータを復元できるという事実によって制限されます。 二重恐喝ランサムウェアは、このハードルを克服し、攻撃者が支払いを受け取る可能性を高めるように設計されています。

デモをリクエストする Ransomware Prevention CISO Guide

それはどのように機能しますか?

適切なデータバックアップは、従来のランサムウェアを打ち破ることができます。 組織がデータの別のコピーを持っている場合、それを復元するために復号化キーの料金を支払う必要はありません。

二重恐喝ランサムウェアは、データ盗難とデータ暗号化を組み合わせることで、この課題を克服します。 ランサムウェアオペレーターは、データを盗み、身代金が支払われない場合は漏洩すると脅すことで、組織にバックアップがあり、それ以外の場合は支払いなしで回復できる場合でも、首尾よく身代金を強要することができます。

二重恐喝ランサムウェアの攻撃シーケンス

二重恐喝ランサムウェアは、ランサムウェア感染の攻撃チェーンに追加の段階を追加し、次の手順が含まれる可能性があります。

  • 初期アクセス:マルウェアは、おそらくユーザーのワークステーションを介して企業ネットワークへの初期アクセスを取得します。
  • 横方向の移動:マルウェアは企業ネットワークを介して、データベース サーバーなどのより価値の高いターゲットに移動します。
  • データの引き出し:ランサムウェアは、可視性の高い暗号化操作を実行する前に、機密情報を攻撃者に引き出します。
  • データ暗号化:マルウェアは、感染したシステム上のファイルを暗号化します。
  • 身代金要求:ランサムウェアは、ファイルの復号化や盗まれたデータの削除のために身代金を要求します。

潜在的なリスクと影響

ランサムウェアの感染が成功すると、組織に多大な損害を与える可能性があります。 最も一般的な影響には、次のようなものがあります。

  • 経済的損失:二重恐喝ランサムウェアは、ビジネスにさまざまな潜在的なコストをもたらします。 インシデントの修復コストに加えて、攻撃中に売上を失い、法的および規制上の罰則を支払う必要がある可能性があります。
  • 風評被害:ランサムウェア攻撃が成功すると、組織の評判やブランドに損害を与える可能性があります。 顧客データの保護に失敗し、攻撃によってサービスが中断される可能性により、顧客離れが発生したり、影響を受けた顧客に賠償金を支払うことを余儀なくされたりする可能性があります。
  • データ損失:二重恐喝ランサムウェアの一部の形式は、データを盗むだけでなく暗号化します。 組織が身代金を支払ったり、バックアップを取ったりしても、すべてのデータが復元されるとは限りません。
  • 規制上の罰則:ランサムウェア グループが機密データを盗むことは、報告対象となるデータ侵害です。 その結果、組織は規制上の罰金を支払う義務を負う可能性があります。

二重恐喝ランサムウェアの例

多くのランサムウェア グループは二重恐喝手法を採用しています。 最もよく知られているものは次のとおりです。

  • 迷路: Maze ランサムウェア グループは2020 年に出現し、二重恐喝ランサムウェア攻撃の先駆けとなりました。
  • REvil: REvil は、2019 年に初めて検出されたサービスとしてのランサムウェア (RaaS) グループです。
  • ダークサイド: DarkSideは2020年に登場したRaaSグループで、コロニアルパイプラインのハッキングで有名です。
  • ブラックマター: BlackMatterは2021年に登場し、現在は活動していないREvilグループとDarkSideグループを引き継ぐと主張しています。
  • LockBit: LockBit は 2019 年に出現し、自己拡散型マルウェアを攻撃に使用する RaaS です。

二重恐喝ランサムウェア攻撃を防ぐ方法

ランサムウェア攻撃から組織を保護するためのサイバーセキュリティのベスト プラクティスには、次のようなものがあります。

  • サイバーセキュリティ意識向上トレーニング:ランサムウェアの亜種の多くは、フィッシングなどのソーシャル エンジニアリング攻撃を使用して、組織のネットワークにアクセスします。 これらの脅威を特定し、適切に対応するための従業員をトレーニングすることで、インシデントのリスクが軽減されます。
  • データのバックアップ:二重恐喝ランサムウェアにはデータ窃盗が組み込まれていますが、貴重なデータも暗号化する可能性があります。 データのバックアップにより、組織はデータを暗号化することなくデータを復元できます。
  • パッチ適用:一部のランサムウェア亜種は、ソフトウェアの脆弱性を悪用してコンピュータにアクセスし、感染します。 パッチやアップデートを迅速に適用すると、悪用される前にセキュリティ ギャップを閉じることができます。
  • 強力なユーザー認証: RDP およびその他のリモート アクセス プロトコルは、企業システムをランサムウェアに感染させるためによく使用されます。 多要素認証 (MFA)を含む強力な認証を導入すると、攻撃者が侵害された資格情報を使用してマルウェアを配布することを防ぐことができます。
  • ネットワークのセグメンテーション:ランサムウェア グループは、多くの場合、最初の感染点から価値の高いシステムまで、組織のネットワークを横方向に移動する必要があります。 ネットワークを分離したセクションに分割するネットワーク セグメンテーションは、この横方向の動きの検出と防止に役立ちます。
  • ランサムウェア対策ソリューション:ランサムウェアのファイル暗号化はコンピューター上に独特の活動パターンを生み出し、多くの亜種には既知のシグネチャがあります。 ランサムウェア対策ソリューションは、ビジネスに重大な損害を与える前にランサムウェア感染を特定し、ブロックまたは修復できます。
  • 脅威インテリジェンス:最新のランサムウェア攻撃キャンペーンに関する知識は、ランサムウェア攻撃から身を守る上で非常に貴重です。 脅威インテリジェンス フィードをサイバーセキュリティ ソリューションと統合することで、ランサムウェア攻撃をより正確に特定してブロックできるようになります。

チェック・ポイントによるランサムウェア攻撃の防止

二重恐喝ランサムウェア攻撃は、ランサムウェア防御としてのバックアップを無効にする可能性があるため、企業にとって重大な脅威となります。 この脅威に対する防御の詳細については、 「CISO Guide to Lansamware Prevention」を参照してください。

チェック・ポイントのサイバーセキュリティ レポートで詳しく説明されているように、ランサムウェアは組織が直面する多くのサイバー脅威の 1 つです。 チェック・ポイント Harmony Endpoint は、ランサムウェアやその他のエンドポイント セキュリティの脅威に対する強力な保護を提供します。 会社に対するエンドポイント セキュリティの脅威の管理について詳しく知りたい場合は、無料のデモにサインアップしてください

×
  フィードバック
このWebサイトは、機能性と分析およびマーケティングの目的でCookieを使用しています。Webサイトを引き続きご利用いただくことで、Cookieの使用に同意したことになります。詳細については、Cookieに関する通知をお読みください。
OK