ランサムウェアとは?

ランサムウェアは、ユーザーまたは組織がコンピューター上のファイルにアクセスするのを拒否するように設計されたマルウェアです。 サイバー攻撃者は、これらのファイルを暗号化し、復号化キーの身代金の支払いを要求することで、身代金を支払うことがファイルへのアクセスを回復するための最も簡単で安価な方法であるという立場に組織を置きます。 一部の亜種では、データの盗難などの追加機能が追加されており、ランサムウェアの被害者が身代金を支払うインセンティブがさらに高まっています。

ランサムウェアは急速に最も多くなりました 有数 そして目に見えるタイプのマルウェア。 最近のランサムウェア攻撃は、病院が重要なサービスを提供する能力に影響を与え、都市の公共サービスを麻痺させ、さまざまな組織に重大な損害を与えています。

Ransomware Prevention CISO Guide 専門家に相談する

ランサムウェア攻撃 – それは何であり、どのように機能しますか?

ランサムウェア攻撃が出現している理由

現代のランサムウェアブームは、2017年のWannaCryのアウトブレイクから始まりました。 この大規模で大きく報道された攻撃は、ランサムウェア攻撃が可能であり、潜在的に利益を生む可能性があることを実証しました。 それ以来、数十のランサムウェアの亜種が開発され、さまざまな攻撃に使用されてきました。

The COVID-19 pandemic also contributed to the recent surge in ransomware. As organizations rapidly pivoted to remote work, gaps were created in their cyber defenses. Cybercriminals have exploited these vulnerabilities to deliver ransomware, resulting in a surge of ransomware attacks.

In an age dominated by digital risks, a staggering 71% of companies have encountered ransomware attacks, resulting in an average financial loss of $4.35 million per incident.

In the year 2023 alone, attempted ransomware attacks have targeted 10% of organizations globally. This marks a notable rise from the 7% of organizations facing similar threats in the previous year, representing the highest rate recorded in recent years.

ランサムウェアの仕組み

ランサムウェアが成功するためには、標的のシステムにアクセスし、そこでファイルを暗号化し、被害者に身代金を要求する必要があります。
実装の詳細はランサムウェアの亜種ごとに異なりますが、すべて同じコア3つの段階を共有しています

  • ステップ1。感染と分布の媒介

ランサムウェアは、他のマルウェアと同様に、さまざまな方法で組織のシステムにアクセスできます。 しかし、ランサムウェアのオペレーターは、いくつかの特定の感染経路を好む傾向があります。

その1つがフィッシングメールです。 悪意のあるメールには、悪意のあるダウンロードをホストしているWebサイトへのリンクや、ダウンローダー機能が組み込まれた添付ファイルが含まれている可能性があります。 電子メールの受信者がフィッシングに引っかかった場合、ランサムウェアがダウンロードされ、受信者のコンピューターに実行されます。

また、ランサムウェアの感染経路としてよく利用されているのは、リモートデスクトッププロトコル(RDP)などのサービスを利用します。 RDP を使用すると、従業員のログイン資格情報を盗んだり推測したりした攻撃者は、その資格情報を使用して、企業ネットワーク内のコンピューターを認証し、リモートでアクセスできます。 このアクセス権により、攻撃者はマルウェアを直接ダウンロードし、制御下のマシンで実行できます。

また、WannaCryがEternalBlueの脆弱性を悪用したように、システムに直接感染しようとするものもあります。 ほとんどのランサムウェアの亜種には、複数の感染経路があります。

  • ステップ2。データ暗号化

 ランサムウェアがシステムにアクセスした後、ファイルの暗号化を開始できます。 暗号化機能はオペレーティングシステムに組み込まれているため、ファイルにアクセスし、攻撃者が制御するキーで暗号化し、元のファイルを暗号化されたバージョンに置き換えるだけです。 ほとんどのランサムウェアの亜種は、システムの安定性を確保するために、暗号化するファイルの選択に慎重です。 一部の亜種は、ファイルのバックアップとシャドウコピーを削除して、復号化キーなしでの回復をより困難にする手順も実行します。

  • ステップ3。身代金要求

ファイルの暗号化が完了すると、ランサムウェアは身代金を要求する準備が整います。 ランサムウェアの亜種によってさまざまな方法でこれを実装していますが、表示の背景が身代金メモに変更されたり、身代金メモを含む暗号化された各ディレクトリに配置されたテキスト ファイルに変更されたりすることは珍しくありません。 通常、これらのメモは、被害者のファイルへのアクセスと引き換えに、一定量の暗号通貨を要求します。 身代金が支払われた場合、ランサムウェアのオペレーターは、対称暗号化キーの保護に使用される秘密キーのコピー、または対称暗号化キー自体のコピーを提供します。 この情報は、復号化プログラム(これもサイバー犯罪者によって提供されます)に入力され、それを使用して暗号化を元に戻し、ユーザーのファイルへのアクセスを復元できます。

これら 3 つの主要なステップはすべてのランサムウェアの亜種に存在しますが、ランサムウェアが異なれば、実装や追加の手順も異なります。 たとえば、Mazeのようなランサムウェアの亜種は、データを暗号化する前にファイルスキャン、レジストリ情報、およびデータの盗難を実行し、WannaCryランサムウェアは他の脆弱なデバイスをスキャンして感染して暗号化します。

Types of Ransomware Attacks

Ransomware has evolved significantly over the past few years. Some important types of ransomware and related threats include:

  • Double Extortion: Double-extortion ransomware like Maze combines data encryption with data theft. This technique was developed in response to organizations refusing to pay ransoms and restoring from backups instead. By stealing an organization’s data as well, the cybercriminals could threaten to leak it if the victim doesn’t pay up.
  • Triple Extortion: Triple extortion ransomware adds a third extortion technique to double extortion. Often, this includes demanding a ransom from the victim’s customers or partners or performing a distributed denial-of-service (DDoS) attack against the company as well.
  • Locker Ransomware: Locker ransomware is ransomware that doesn’t encrypt the files on the victim’s machine. Instead, it locks the computer — rendering it unusable to the victim — until the ransom has been paid.
  • Crypto Ransomware: Crypto ransomware is another name for ransomware that underscores the fact that ransomware payments are commonly paid in cryptocurrency. The reason for this is that cryptocurrencies are digital currencies that are more difficult to track since they’re not managed by the traditional financial system.
  • Wiper: Wipers are a form of malware that is related to but distinct from ransomware. While they may use the same encryption techniques, the goal is to permanently deny access to the encrypted files, which may include deleting the only copy of the encryption key.
  • Ransomware as a Service (RaaS): RaaS is a malware distribution model in which ransomware gangs provide “affiliates” with access to their malware. These affiliates infect targets with the malware and split any ransom payments with the ransomware developers.
  • Data-Stealing Ransomware: Some ransomware variants have focused on data theft, abandoning data encryption entirely. One reason for this is that encryption can be time-consuming and easily detectable, providing an organization with an opportunity to terminate the infection and protect some files from encryption.

一般的なランサムウェアの亜種

ランサムウェアの亜種は数十種類存在し、それぞれに独自の特徴があります。 ただし、一部のランサムウェアグループは他のグループよりも多作で成功しており、群衆から際立っています。

1. リューク

Ryuk は、非常に標的を絞ったランサムウェアの亜種の一例です。 通常、スピアフィッシングメールを介して配信されるか、侵害されたユーザー資格情報を使用して、リモートデスクトッププロトコル(RDP)を使用してエンタープライズシステムにログインすることによって配信されます。 システムが感染すると、Ryukは特定の種類のファイルを暗号化し(コンピューターの動作に不可欠なファイルを除く)、身代金を要求します。

Ryukは、現存するランサムウェアの中で最も高価なタイプの1つとしてよく知られています。 リュークは身代金を要求し、 平均100万ドル以上.その結果、Ryukの背後にいるサイバー犯罪者は、主に彼らの要求を満たすために必要なリソースを持っている企業に焦点を当てています。

2.迷路

迷路 ランサムウェアは、 ファイルの暗号化とデータ窃盗を組み合わせる.標的が身代金の支払いを拒否し始めると、Mazeは被害者のコンピューターから機密データを収集し、暗号化し始めました。 身代金の要求が満たされない場合、このデータは公開されるか、最高入札者に販売されます。 高額なデータ侵害の可能性は、支払いのための追加のインセンティブとして使用されました。

Mazeランサムウェアの背後にいるグループは、 正式に営業終了.ただし、これはランサムウェアの脅威が軽減されたことを意味するものではありません。 一部のMazeアフィリエイトはEgregorランサムウェアの使用に移行しており、Egregor、Maze、Sekhmetの亜種には共通のソースがあると考えられています。

3.リビル (ソディノキビ)

REvilグループ(別名:Sodinokibi) は、大規模な組織を標的とする別のランサムウェアの亜種です。

REvilは、ネット上で最もよく知られているランサムウェアファミリーの1つです。 2019年からロシア語を話すREvilグループによって運営されているランサムウェアグループは、「Kaseya」や「JBS」などの多くの大規模な侵害に関与しています

過去数年間、最も高価なランサムウェアの亜種の称号をめぐってRyukと競合してきました。 REvilには、 800,000ドルの身代金の支払いを要求した.

REvilは従来のランサムウェアの亜種として始まりましたが、時間の経過とともに進化してきました。
彼らは二重恐喝技術を使用して、ファイルを暗号化しながら企業からデータを盗みます。 つまり、攻撃者は、データを復号化するために身代金を要求するだけでなく、2回目の支払いが行われない場合、盗んだデータを解放すると脅迫する可能性があります。

4.ロックビット

LockBitは、2019年9月から運用されているデータ暗号化マルウェアであり、最近ではランサムウェア・ア ズ・ア・サービス(RaaS)となっています。 このランサムウェアは、セキュリティアプライアンスやIT/SOCチームによる迅速な検出を防ぐ方法として、大規模な組織を迅速に暗号化するために開発されました。 

5.親愛なる叫び

2021年3月、MicrosoftはMicrosoft Exchangeサーバー内の4つの脆弱性に対するパッチをリリースしました。 DearCryは、Microsoft Exchangeで最近公開された4つの脆弱性を悪用するように設計された新しいランサムウェアの亜種です

DearCryランサムウェアは、特定の種類のファイルを暗号化します。 暗号化が完了すると、DearCryは身代金メッセージを表示し、ファイルを復号化する方法を学ぶためにランサムウェアオペレーターに電子メールを送信するようにユーザーに指示します。

6. ラプスドル

Lapsus$は南米のランサムウェアギャングで、一部の有名な標的に対するサイバー攻撃に関連しています。 サイバーギャングは恐喝で知られており、被害者からの要求がなければ機密情報を公開すると脅迫しています。 このグループは、Nvidia、Samsung、Ubisoftなどへの侵入を誇っています。 このグループは、窃取したソースコードを使用して、マルウェア ファイルを信頼できるファイルに偽装します。

How Does Ransomware Affect Businesses?

A successful ransomware attack can have various impacts on a business. Some of the most common risks include:

  • Financial Losses: Ransomware attacks are designed to force their victims to pay a ransom. Additionally, companies can lose money due to the costs of remediating the infection, lost business, and potential legal fees.
  • Data Loss: Some ransomware attacks encrypt data as part of their extortion efforts. Often, this can result in data loss, even if the company pays the ransom and receives a decryptor.
  • Data Breach: Ransomware groups are increasingly pivoting to double or triple extortion attacks. These attacks incorporate data theft and potential exposure alongside data encryption.
  • Downtime: Ransomware encrypts critical data, and triple extortion attacks may incorporate DDoS attacks. Both of these have the potential to cause operational downtime for an organization.
  • Brand Damage: Ransomware attacks can harm an organization’s reputation with customers and partners. This is especially true if customer data is breached or they receive ransom demands as well.
  • Legal and Regulatory Penalties: Ransomware attacks may be enabled by security negligence and may include the breach of sensitive data. This may open up a company to lawsuits or penalties being levied by regulators.

Common Ransomware Target Industries

Ransomware can target any company across all industry verticals. However, ransomware is commonly deployed as part of a cybercrime campaign, which is often targeted at a particular industry. The top five ransomware target industries in 2023 include:

  • Education/Research: The Education/Research sector experienced 2046 ransomware attacks in 2023, a 12% drop from the previous year.
  • Government/Military: Government and military organizations were the second most targeted industry with 1598 attacks and a 4% decrease from 2022.
  • Healthcare: Healthcare experienced 1500 attacks and a 3% increase, which is particularly concerning due to the sensitive data and critical services that it provides.
  • Communications: Communications organizations experienced an 8% growth in 2023, totaling 1493 known attacks.
  • ISP/MSPs: ISPs and MSPs — a common ransomware target due to their potential for supply chain attacks — experienced 1286 ransomware attacks in 2023, a 6% decrease.

ランサムウェアから保護する方法

  • ベスト プラクティスの活用

ランサムウェア攻撃に備えて適切な対策を講じておくことで、攻撃に遭遇した場合の被害額と影響を大幅に抑えられます。 以下のベスト プラクティスを実践すれば、攻撃にさらされるリスクを軽減し、その被害を最小限にすることが可能です。

  1. サイバー意識向上のトレーニングと 教育: ランサムウェアは、多くの場合、フィッシングメールを使用して拡散されます。 潜在的なランサムウェア攻撃を特定して回避する方法についてユーザーをトレーニングすることは非常に重要です。 現在のサイバー攻撃の多くは、マルウェアすら含まれておらず、ユーザーに悪意のあるリンクをクリックするよう促すソーシャルエンジニアリングされたメッセージのみを含む標的型電子メールから始まるため、ユーザー教育は、組織が展開できる最も重要な防御策の1つと見なされることがよくあります。
  2. 継続的なデータバックアップ: ランサムウェアの定義によると、身代金を支払うことが暗号化されたデータへのアクセスを復元する唯一の方法であるように設計されたマルウェアです。 自動化され、保護されたデータバックアップにより、組織は身代金を支払うことなく、データ損失を最小限に抑えて攻撃から回復できます。 データの定期的なバックアップを日常的なプロセスとして維持することは、データの損失を防ぎ、破損やディスクハードウェアの誤動作が発生した場合にデータを回復できるようにするために非常に重要な方法です。 機能バックアップは、組織がランサムウェア攻撃から回復するのにも役立ちます。
  3. パッチ: サイバー犯罪者は、利用可能なパッチで発見された最新のエクスプロイトを探し、まだパッチが適用されていないシステムを標的にすることが多いため、パッチ適用はランサムウェア攻撃に対する防御において重要な要素です。 そのため、攻撃者が悪用する企業内の潜在的な脆弱性の数を減らすために、すべてのシステムに最新のパッチを適用することが重要です。
  4. ユーザー認証: 盗んだユーザー認証情報でRDPなどのサービスにアクセスすることは、ランサムウェア攻撃者が好んで使う手法です。 強力なユーザー認証を使用すると、攻撃者が推測または盗まれたパスワードを使用することが困難になります
  • 攻撃対象範囲の縮小

ランサムウェアに感染した場合に生じる潜在的なコストは高額であるため、予防的対策を講じることが最良の防御戦略となります。 具体的には、以下の要因に対処して攻撃対象範囲を縮小する必要があります。

  1. フィッシング詐欺のメッセージ
  2. パッチ未適用の脆弱性
  3. リモート アクセス ソリューション
  4. モバイル マルウェア
  • ランサムウェア対策ソリューションの導入

ユーザーのすべてのファイルを暗号化する必要があるということは、ランサムウェアがシステム上で実行されるときに一意のフィンガープリントを持つことを意味します。 ランサムウェア対策ソリューションは、これらのフィンガープリントを識別するように構築されています。 優れたランサムウェア対策ソリューションの一般的な特徴は次のとおりです。

  • 幅広いバリアントの検出
  • 高速検出
  • 自動復元
  • 一般的な組み込みツール(一部のランサムウェアの亜種が標的とする「シャドウコピー」など)に基づかない復元メカニズム

ランサムウェアを削除する方法は?

身代金メッセージは、ランサムウェア感染が成功したことを明らかにするため、誰もが自分のコンピューターで見たいものではありません。 この時点で、アクティブなランサムウェア感染に対応するためにいくつかの手順を踏むことができ、組織は身代金を支払うかどうかを選択する必要があります。

  • アクティブなランサムウェア感染を軽減する方法

ランサムウェア攻撃の成功の多くは、データの暗号化が完了し、感染したコンピューターの画面に身代金メモが表示された後にのみ検出されます。 この時点で、暗号化されたファイルは回復できない可能性がありますが、いくつかの手順をすぐに実行する必要があります。

  1. マシンを検疫します。 ランサムウェアの亜種の中には、接続されたドライブや他のマシンに拡散しようとするものがあります。 他の潜在的なターゲットへのアクセスを削除することで、マルウェアの拡散を制限します。
  2. コンピュータの電源を入れたままにします。 ファイルを暗号化すると、コンピューターが不安定になる可能性があり、コンピューターの電源を切ると揮発性メモリが失われる可能性があります。 回復の可能性を最大限に高めるために、コンピュータの電源を入れたままにします。
  3. バックアップを作成します。 一部のランサムウェアの亜種のファイルの復号化は、身代金を支払うことなく可能です。 暗号化されたファイルのコピーをリムーバブルメディアに作成し、将来解決策が利用可能になった場合や、復号化作業の失敗によってファイルが損傷した場合に備えます。
  4. 復号化機能を確認します。 No More Ransom Projectに問い合わせて、無料の復号化ツールが利用可能かどうかを確認してください。 その場合は、暗号化されたデータのコピーに対して実行して、ファイルを復元できるかどうかを確認します。
  5. 助けを求める: コンピュータには、保存されているファイルのバックアップコピーが保存されていることがあります。 デジタルフォレンジックの専門家は、マルウェアによって削除されていない場合、これらのコピーを回復できる可能性があります。
  6. ワイプと復元: クリーン バックアップまたはオペレーティング システムのインストールからマシンを復元します。 これにより、マルウェアがデバイスから完全に削除されます

チェック・ポイントのヘルプ

チェック・ポイントの ランサムウェア対策 テクノロジーは、ランサムウェアの最も巧妙で回避的なゼロデイ亜種から防御し、暗号化されたデータを安全に回復して、ビジネスの継続性と生産性を確保する専用のエンジンを使用しています。 このテクノロジーの有効性は、当社の研究チームによって日々検証されており、攻撃の特定と軽減において一貫して優れた結果を示しています。

チェック・ポイントの業界をリードするエンドポイント防御および対応製品であるHarmony Endpointは、ランサムウェア対策テクノロジーを搭載し、業界をリードするチェック・ポイントのネットワーク保護を活用して、Webブラウザとエンドポイントを保護します。Harmony Endpointは、すべてのマルウェア脅威ベクトルに対して完全なリアルタイムの脅威対策と修復を提供し、従業員が生産性を損なうことなく、どこにいても安全に作業できるようにします。

×
  フィードバック
このWebサイトは、機能性と分析およびマーケティングの目的でCookieを使用しています。Webサイトを引き続きご利用いただくことで、Cookieの使用に同意したことになります。詳細については、Cookieに関する通知をお読みください。
OK