DarkSideの紹介
2020 年 8 月に最初に発見されたこのグループは、さまざまなランサムウェア グループの経験豊富なサイバー犯罪者で構成されていると思われます。 DarkSideは、ランサムウェア・アズ・ア・ サービス (RaaS)分野に最近参入し、ランサムウェアを開発し、他のサイバー犯罪者に販売しています。
これにより、サイバー犯罪者は特定の分野に特化することができます。 DarkSideグループはマルウェアの開発と改善に重点を置いていますが、顧客はターゲットネットワークへのアクセスを取得し、その中の重要または価値のあるシステムにマルウェアを配信することを専門としています。
The DarkSide group made headlines for a ransomware attack against Colonial Pipeline, which transports about half of the fuel to the East Coast of the United States. This attack crippled the pipeline’s operations, causing a complete shutdown for multiple days and causing the US government to announce a state of emergency due to the attack posing a potential national security threat.
DarkSideランサムウェアの仕組み
ランサムウェアグループ「DarkSide」は、標的型攻撃を行います。 このグループは非政治的であると主張し、金儲けに焦点を当てていますが、社会に問題を引き起こしたくありません。 その一環として、同グループは攻撃の「許容可能な標的」と見なすもののリストを公開しています。
DarkSideランサムウェアが標的環境にアクセスすると、まずビジネスから機密性の高い貴重なデータを収集して盗み出すことから始めます。 これは、DarkSideが「二重恐喝」攻撃を実行するためであり、ファイルを復号化するための身代金を支払わない被害者は、要求が満たされない限り、データが漏洩すると脅迫されます。 DarkSideグループは、DarkSide LeaksというWebサイトを運営しており、身代金の支払いを拒否するターゲットのデータを公開しています。
データを盗み、感染したコンピューターを暗号化した後、DarkSideグループは特定のターゲットに合わせた身代金要求を送信します。 標的企業の規模とリソースに基づいて、身代金の要求は 200,000 ドルから 2,000 万ドルまでさまざまです。 DarkSideグループは、利益を得る可能性を高めるために、企業を徹底的に調査して主要な意思決定者を特定し、要求された身代金を最大化し、標的組織の支払い能力の範囲内であることを確認します。
RaaSベンダーとして、DarkSideグループはマルウェアをより効果的にし、検出とブロックをより困難にするために、マルウェアの改善に注力しています。 この目的のために、このグループは最近、マルウェアのバージョン2.0をリリースし、攻撃キャンペーンで積極的に使用されています。
ランサムウェアの脅威の管理
The emergence of the DarkSide ransomware group demonstrates the increasing threat of ransomware attacks. A number of different ransomware groups are currently operating, and the RaaS business model makes it possible for groups with sophisticated malware – like DarkSide – to expand their impact by selling access to their ransomware to other cybercrime groups.
巧妙なランサムウェアにアクセスするグループが増えているため、ランサムウェアの防止はあらゆる組織のサイバーセキュリティ戦略の重要な要素です。
ランサムウェアの脅威を軽減するには、次のような 特定のベストプラクティスを実装する必要があります。
- 意識向上トレーニング: ランサムウェアの大部分は、フィッシングやその他のソーシャルエンジニアリング攻撃によって配信されます。 不審なメールを認識して適切に対応できるように従業員をトレーニングすることは、不審なメールがもたらす脅威を軽減するために不可欠です。
- データのバックアップ: ランサムウェアはデータを暗号化するように設計されており、組織はアクセスを回復するために身代金を支払うことを余儀なくされます。 データのバックアップを頻繁に作成することで、ランサムウェア攻撃によって引き起こされる潜在的なデータ損失を最小限に抑えることができます。
- パッチ管理: ランサムウェアの亜種の中には、組織のシステムのパッチが適用されていない脆弱性を悪用して拡散するものがあります。 更新プログラムを迅速にインストールすることで、攻撃者に悪用される前にこれらのギャップを埋めることができます。
- 多要素認証: 侵害されたユーザー資格情報は、RDPまたはVPNで使用され、企業のコンピューターにアクセスしてマルウェアを植え付けます。 多要素認証(MFA)を実装することで、脆弱なパスワードや侵害されたパスワードのリスクを制限できます。
エンドポイント セキュリティ: ランサムウェアは、さまざまな方法で組織のコンピューターにアクセスできます。 ランサムウェア対策機能を備えたエンドポイントセキュリティソリューションは、ランサムウェア感染を検出して排除し、発生した被害を最小限に抑えるのに役立ちます。
Harmony Endpointによるランサムウェアからの保護
チェック・ポイントのHarmony Endpointは、ランサムウェア攻撃に対する堅牢な保護を提供するフル機能のエンドポイント セキュリティ ソリューションです。 最新のMITRE Engenuity ATT&CK評価では、Harmony Endpointはテストで使用されたすべての攻撃手法を検出し、ランサムウェア攻撃を含む最新のサイバー脅威に対する包括的な保護を提供する能力を実証しました。
Harmony Endpointを使用すると、組織は環境内のランサムウェア感染をプロアクティブに検出できます。 Harmony Endpointを使用した脅威ハンティングについては、 このビデオをご覧ください。 さらに、 このビデオで、Harmony Endpointを使用してMazeランサムウェア感染を特定する方法をご覧ください。
Harmony Endpointの機能の詳細については、 ソリューション概要をご覧ください。 また、 パーソナライズされたデモ でHarmony Endpointの動作を確認したり、 無料トライアルで試してみたりすることもできます。
Feedback