DearCry ランサムウェア
ランサムウェアの亜種である DearCry は、Microsoft Exchange で最近明らかにされた 4 つの脆弱性を悪用するように設計されています。 コンピュータにアクセスすると、そこに保存されているファイルを暗号化し、対応する復号化キー(攻撃者だけが知っている)なしではアクセスできないようにします。
DearCry ランサムウェアはどのように機能しますか?
2021 年 3 月、Microsoft はMicrosoft Exchange サーバー内の 4 つの重大な脆弱性に対するパッチをリリースしました。 これらの脆弱性は、さまざまな攻撃キャンペーンで積極的に悪用されました。 DearCry は、これらの脆弱な Microsoft Exchange サーバーを悪用するように設計されたランサムウェアの亜種です。
このマルウェアはドライブの列挙を実行して、感染したマシンからアクセス可能なすべてのストレージ メディアを識別します。 DearCry ランサムウェアは、これらのドライブごとに、AES および RSA-2048 を使用して特定の種類のファイル (ファイル拡張子に基づいて) を暗号化します。 暗号化が完了すると、DearCry は、マシンの復号化方法を学ぶためにランサムウェア オペレーターに電子メールを送信するようユーザーに指示する身代金メモを表示します。
DearCry ランサムウェアから身を守る方法
DearCryの身代金メモが表示された場合、すでに被害が発生しています。 DearCry またはあらゆる種類のランサムウェアに対応する最善の方法は、データ暗号化が開始される前にランサムウェアを検出してブロックすることです。
これを達成する最も効果的な方法は、ランサムウェア対策保護を導入することです。 チェック・ポイントの脅威エミュレーションなどのツールは、行動分析を使用してランサムウェア攻撃の警告兆候を特定し、ユーザーが被害を受ける前に脅威を修復できるようにします。 すべてのランサムウェアは、その目的を達成するために特定のアクション (ファイルの暗号化など) を実行する必要があるため、このアプローチはあらゆる種類のランサムウェアに対して有効です。
ただし、特定の種類のランサムウェアを対象とした保護は、組織の対応の速度と有効性を向上させるのに役立ちます。 ランサムウェアに対する一般的な脅威エミュレーション保護 (DearCry をブロックする) に加えて、チェック・ポイントは次の製品用の 2 つの専用保護をリリースしました。
- 脅威エミュレーション– ランサムウェア.Win.DearCry.A
- Check Point Endpoint Security – Ransomware.Win.DearCry.B
これらの専用の検出ツールを使用すると、組織のシステム上の潜在的なDearCry感染をより迅速かつ簡単に検出して根絶できます。
ランサムウェア防止のベスト プラクティス
For protecting against the DearCry ransomware, targeted protections (like the ones deployed in Threat Emulation and Check Point Endpoint Security) are the most effective solutions for an active attack. More general ransomware protections can also detect this threat and are vital for identifying and blocking zero-day ransomware attacks.
ただし、組織はランサムウェア攻撃の潜在的なコストと影響を最小限に抑えるために多層防御を実装する必要があります。 ランサムウェア防止のベスト プラクティスには次のようなものがあります。
- パッチ管理: DearCry ランサムウェアは、Microsoft Exchange サーバーの重大な脆弱性を悪用します。 デバイスにパッチを適用し、最新の状態に保つことは、攻撃者が利用できる潜在的な侵入ベクトルを最小限に抑えるために不可欠です。
- 従業員教育:ランサムウェアは通常、従業員を利用したフィッシングやその他の手法を介して配信されます。 このような種類の攻撃を認識し、適切に対応できるように従業員をトレーニングすると、ランサムウェアやその他の種類の攻撃に対する組織のリスクを大幅に軽減できます。
- 電子メールのセキュリティ:電子メールは、ランサムウェアを含むあらゆる種類のマルウェアの主要な感染経路です。 電子メール セキュリティ ソリューションでは、機械学習とサンドボックス エミュレーションを使用して、電子メールがユーザーの受信箱に届く前に、電子メールから悪意のあるコンテンツを特定して削除できます。
- 安全なリモート アクセス:新型コロナウイルス感染症のパンデミックにより、仮想プライベート ネットワーク (VPN) とリモート デスクトップ プロトコル (RDP) がランサムウェアの最も一般的な配信メカニズムになりました。 組織のテレワーク インフラストラクチャをセキュリティで保護することで、この潜在的な攻撃ベクトルをブロックできます。
- エンドポイント セキュリティ:ランサムウェアはさまざまなメディアを介して配信される可能性があります。 ランサムウェアやその他の種類の悪意のあるコンテンツを検出してブロックできるエンドポイント セキュリティ ソリューションは、組織がこれらの脅威にさらされるのを最小限に抑えるのに役立ちます。
チェック・ポイントでランサムウェア攻撃をブロック
ランサムウェアの脅威の状況は常に進化しています。 DearCry は、何年も前から存在する脅威の最新版の 1 つであり、広く使用されている製品で最近発見された脆弱性を悪用します。 組織は、最新のランサムウェアの脅威に対応し、軽減できる、対象を絞ったランサムウェア対策ソリューションを必要としています。
Ransomware attacks the endpoint, so the endpoint should be the focus of any anti-ransomware strategy. Check Point’s Check Point Endpoint Security is a complete endpoint security solution that offers comprehensive protection against ransomware, including both general behavior-based detection and protections targeted to specific variants.
Its threat hunting support – mapped to the MITRE ATT&CK framework – also enables an organization’s security team to proactively search for and investigate potential threats and incursions within its network. To learn more about threat hunting with Check Point Endpoint Security, check out this walkthrough.
Check Point Endpoint Security provides comprehensive protection against threats like the DearCry ransomware. To learn more about its capabilities, check out this product tour. You’re also welcome to request a personalized demo to see the power of Check Point Endpoint Security for yourself.
