ランサムウェアは 何十年も前から存在していましたが、WannaCryランサムウェア攻撃により、これらの攻撃が効果的で収益性が高いことが実証された後、ランサムウェア攻撃が近年急増しています。 ここ数年、多くのランサムウェアグループが出現し、高度なマルウェアをプッシュしています。
これらのグループは、COVID-19のパンデミックを利用して、RDPと脆弱なVPNエンドポイントを介して攻撃を拡散しました。 しかし、COVID-19のパンデミックは終息が見えてきたものの、 ランサムウェアのパンデミック は加速しているようにしか見えません。
もともとランサムウェアは、システム上のファイルを暗号化し、復号化キーの身代金を要求する単一の脅威グループによってプッシュされたマルウェアでした。 しかし、ここ数年で、ランサムウェアの脅威の様相は劇的に変化しました。
大きな変化の 1 つは、これらの攻撃のエスカレーションが増加していることです。 まず、「二重恐喝」攻撃は、機密データを暗号化する前に盗み出し、身代金を支払わなければデータを漏洩すると脅迫しました。 その後、「三重恐喝」グループは、被害者の顧客に対しても脅迫し、身代金を要求し始めました。 現在、一部のランサムウェアグループは、被害者に身代金を支払うためにさらなる影響力を与えるために、分散型サービス妨害攻撃(DDoS)攻撃を脅迫または実行しています。
もう1つの大きな進化は、1つのランサムウェアグループがマルウェアを開発し、それを「アフィリエイト」に配布して攻撃に使用する RaaS(Ransomware as a Service) モデルの出現です。 RaaSを使用すると、より多くのグループが高度なマルウェアにアクセスできるため、ランサムウェア攻撃が増えます。
感染した場合は、次の手順を実行してインシデントの影響を管理し、ランサムウェアの回復に備えます。
ランサムウェア攻撃が成功すると、適切な復号化キーがないと復号化できない方法でデータが暗号化されます。 ただし、ランサムウェアの回復にはいくつかのオプションがあります。
ファイルの復元に加えて、攻撃者が感染したコンピューター上のファイルをすぐに再暗号化できないようにすることが不可欠です。 インシデント対応チーム(IRT)と連携して、企業環境へのアクセスに使用される脆弱性を特定して閉じ、感染したシステムにインストールされているバックドアと永続化メカニズムを検出して削除することは、これらのシステムを復元する前の重要なステップです。
ランサムウェアに関しては、 予防 が常に最良の選択肢です。 攻撃が発生する前に ランサムウェア対策 ソリューションを導入することで、組織は多くの時間、コスト、およびトラブルを節約できます。 ランサムウェア対策ソリューションの詳細については、この バイヤーズガイド をご覧になり、 Harmony Endpointの無料デモをリクエストしてください。
ただし、ランサムウェア攻撃が成功した場合は、専門家に依頼することをお勧めします。 チェック・ポイントのMDR(Managed Detection and Response)およびインシデント対応(IR)チームは、ランサムウェア感染の検出、調査、管理において豊富な経験を有しています。
サイバーセキュリティインシデントが発生した場合は、 緊急対応ホットラインにお電話ください。 緊急性の低い問題や、将来のランサムウェア攻撃から身を守る方法について詳しくは、 お問い合わせください。