ランサムウェア攻撃の急増
もともとランサムウェアは、システム上のファイルを暗号化し、復号化キーの身代金を要求する単一の脅威グループによってプッシュされたマルウェアでした。 しかし、ここ数年で、ランサムウェアの脅威の様相は劇的に変化しました。
大きな変化の 1 つは、これらの攻撃のエスカレーションが増加していることです。 まず、「二重恐喝」攻撃は、機密データを暗号化する前に盗み出し、身代金を支払わなければデータを漏洩すると脅迫しました。 その後、「三重恐喝」グループは、被害者の顧客に対しても脅迫し、身代金を要求し始めました。 現在、一部のランサムウェアグループは、被害者に身代金を支払うためにさらなる影響力を与えるために、分散型サービス妨害攻撃(DDoS)攻撃を脅迫または実行しています。
もう1つの大きな進化は、1つのランサムウェアグループがマルウェアを開発し、それを「アフィリエイト」に配布して攻撃に使用する RaaS(Ransomware as a Service) モデルの出現です。 RaaSを使用すると、より多くのグループが高度なマルウェアにアクセスできるため、ランサムウェア攻撃が増えます。
感染した場合の対処法
感染した場合は、次の手順を実行してインシデントの影響を管理し、ランサムウェアの回復に備えます。
- 冷静: ランサムウェア攻撃はストレスが溜まりますが、物事を急ぐことは大きな間違いを犯すことを意味します。 冷静さを保つことは、ランサムウェアから回復する際に正しい決定を下すために不可欠です。
- 影響を受けるシステムの検疫: ランサムウェアは通常、ネットワークを介して拡散して、できるだけ多くのシステムに感染しようとします。 感染したシステムをネットワークの他の部分から切断すると、他のデータも暗号化されないようにすることができます。
- バックアップの切断: ランサムウェアのオペレーターは、組織が身代金を支払う代わりにバックアップから回復しようとすることを知っているため、ランサムウェアは一般的にバックアップシステムを標的にします。 感染したコンピューターにバックアップを接続せず、感染している可能性のあるバックアップを監視および検疫します。
- コピーを作成します。 ランサムウェアの復号化は常に機能するとは限らず、ランサムウェアの復号化ツールは継続的に開発されています。 暗号化されたデータのコピーを作成すると、問題が発生した場合に後で復元できる場合があります。
- 感染したシステムをオンラインに保つ: ランサムウェアの亜種の中には、感染したシステムを不安定にし、再起動すると回復不能な状態になるものがあります。 ランサムウェアの削除作業中は、システムを再起動したり、感染したシステムで更新を実行したりしないでください。
- 協力とコミュニケーション: 法執行機関、規制当局、その他の利害関係者に連絡し、信頼できるインシデント対応チームに連絡することを検討してください。 彼らは、問題の解決に役立つ専門知識や追加のリソースを持っている場合があります。
- バリアントを特定します。 さまざまなランサムウェアの亜種が流通しており、リストは常に変化しています。 身代金メモに作成者の名前が記載されていない場合は、 No More Ransom Project で詳細を確認し、無料の復号化ツールを入手することもできます。
- 支払うかどうか: この質問は難しい質問です。 一方では、身代金を支払うことで、より速く、より安価な回復が可能になる場合があります。 一方、お金を払っても回復が保証されるわけではなく、攻撃者は活動を継続するために必要なリソースを得ることができます。
- インシデントから学ぶ: ランサムウェアは何らかの方法でシステムにアクセスしました。 感染経路を特定して閉じ、将来の攻撃者が同じ手法を使用するのを防ぎます。
ランサムウェアから回復する方法
ランサムウェア攻撃が成功すると、適切な復号化キーがないと復号化できない方法でデータが暗号化されます。 ただし、ランサムウェアの回復にはいくつかのオプションがあります。
- No More Ransom プロジェクト: 上記のように、解決策を探す最初の場所は、No More Ransom Projectです。 多くのランサムウェアの亜種に対して無料の復号化ツールがリリースされており、身代金を支払うことなく回復できます。 ただし、ツールは通常、最も一般的なランサムウェアの亜種では利用できません。
- バックアップからの復元: ランサムウェアは通常、バックアップを削除または暗号化しようとしますが、一部がそのまま残っている可能性があります。 オフラインまたは読み取り専用の場合。 バックアップがクリーンであることを確認し、マスターブートレコード(MBR)を含むコンピュータを完全に消去した後、バックアップから部分的または完全な回復を実行できる場合があります。
- 身代金を支払う: ランサムウェアの目的は、身代金を支払うことが「唯一の選択肢」であるという立場に被害者を置いたことです。 支払うかどうかの決定は、組織固有の状況に依存し、重大なリスクを伴います。
ファイルの復元に加えて、攻撃者が感染したコンピューター上のファイルをすぐに再暗号化できないようにすることが不可欠です。 インシデント対応チーム(IRT)と連携して、企業環境へのアクセスに使用される脆弱性を特定して閉じ、感染したシステムにインストールされているバックドアと永続化メカニズムを検出して削除することは、これらのシステムを復元する前の重要なステップです。
チェック・ポイントによるランサムウェアの復旧
ランサムウェアに関しては、 予防 が常に最良の選択肢です。 攻撃が発生する前に ランサムウェア対策 ソリューションを導入することで、組織は多くの時間、コスト、およびトラブルを節約できます。 ランサムウェア対策ソリューションの詳細については、この バイヤーズガイド をご覧になり、 Harmony Endpointの無料デモをリクエストしてください。
ただし、ランサムウェア攻撃が成功した場合は、専門家に依頼することをお勧めします。 チェック・ポイントのMDR(Managed Detection and Response)およびインシデント対応(IR)チームは、ランサムウェア感染の検出、調査、管理において豊富な経験を有しています。
サイバーセキュリティインシデントが発生した場合は、 緊急対応ホットラインにお電話ください。 緊急性の低い問題や、将来のランサムウェア攻撃から身を守る方法について詳しくは、 お問い合わせください。
Feedback