Ryukランサムウェア攻撃

ランサムウェアの亜種「Ryuk」は、2018年8月に初めて「野生」で発見されました。 それ以来、知名度が高まり、現存するランサムウェアの亜種として最も有名でコストのかかるものの1つになりました。

WannaCryなどの初期のランサムウェアの亜種とは異なり、Ryukは非常に標的を絞って設計されています。 マルウェアの設計は、各被害者がマルウェアを操作するサイバー犯罪者の個別の注意を引かなければならないことを意味します。 その結果、Ryukは、高度にカスタマイズされた感染ベクトルと高い身代金要求を伴う標的型キャンペーンで使用されます。

詳細はこちら 攻撃の防止

Ryukランサムウェアはどのように機能しますか?

Ryukは標的型 ランサムウェア の亜種として設計されており、被害者に対して量より質を重視しています。 Ryukの感染は、意図した被害者に感染するための非常に標的を絞った攻撃から始まり、ファイルの暗号化と非常に多額の身代金要求が続きます。

#1.感染症

Ryukランサムウェアの背後にいるオペレーターは、ターゲットを絞ったアプローチで被害者を選択して感染させます。 Ryukランサムウェアを使用したキャンペーンは、多数のコンピューターに感染して比較的少額の身代金(WannaCryなど)を要求するのではなく、単一の組織に焦点を当て、データ復旧の提示価格が非常に高いです。

このため、Ryukは一般的に非常に標的を絞った手段で拡散されます。 これには、カスタマイズされたスピアフィッシングメールの使用や、侵害された資格情報を悪用して、リモートデスクトッププロトコル(RDP)を介してシステムにリモートアクセスすることが含まれます。

スピアフィッシングメールは、Ryukを直接運ぶ場合もあれば、一連のマルウェア感染の最初のメールである場合もあります。 Emotet、TrickBot、Ryukは一般的な組み合わせです。 RDPを使用すると、サイバー犯罪者はRyukをターゲットマシンに直接インストールして実行したり、そのアクセスを利用してネットワーク上の他のより価値のあるシステムに到達して感染させたりすることができます。

#2.暗号化

Ryukは、対称アルゴリズム(AES-256)と非対称アルゴリズム(RSA 4096)を含む暗号化アルゴリズムを組み合わせて使用します。 ランサムウェアは対称アルゴリズムでファイルを暗号化し、RSA公開鍵で暗号化された対称暗号鍵のコピーを含みます。 身代金を支払うと、Ryukオペレーターは対応するRSA秘密鍵のコピーを提供し、対称暗号鍵の復号化と、それを使用して暗号化されたファイルの復号化を可能にします。

ランサムウェアは、間違ったファイルを暗号化すると、感染したシステムの安定性に深刻な脅威をもたらします。 このため、Ryukは特定のファイルタイプ(.exeを含む)の暗号化を意図的に避けています および .dll) システム上の特定のフォルダ内のファイル。 絶対確実なシステムではありませんが、これにより、Ryukが感染したコンピューターを壊す可能性が低くなり、身代金が支払われた場合でもファイルの取得がより困難または不可能になります。

#3.身代金

Ryukは最も高価なランサムウェアの亜種の1つとして知られており、2020年第1四半期の平均 身代金要求額は111,605米ドルに達し ています。 Ryukの身代金メモには、被害者がランサムウェアを操作しているサイバー犯罪者を標的にして、身代金の支払い方法に関する指示を受け取ることができる電子メールアドレスが含まれています。

ただし、身代金を支払うことを選択した組織は、常に支払った金額が得られるとは限りません。 身代金を要求すると、サイバー犯罪者は被害者のファイルを復号化できる復号化キーやソフトウェアを送信することになります。 ほとんどの場合、サイバー犯罪者はファイルへのアクセスを返さずに身代金を受け取ります。

ただし、サイバー犯罪者が誠実に行動している場合でも、組織が失われたすべてのファイルへのアクセスを取り戻すという保証はありません。 Ryukランサムウェア復号化ツールの1つのバージョンでは、大きなファイルを復号するときに最後のバイトをドロップする コードにエラーがありました 。 一部のファイル形式では、この最後のバイトは単なるパディングですが、他のファイル形式では、ファイルを解釈することが重要です。 そのため、Ryukの被害者は、身代金を支払ったとしても、暗号化されたファイルをすべて取り戻せるとは限りません。

リュークから身を守る方法

Ryukランサムウェア攻撃の被害に遭うと、組織にとって非常にコストがかかります。 ランサムウェア「Ryuk」のオペレーターは、標的型スピアフィッシングルアーの開発に力を注いでおり、そのトラブルに対して高額な身代金を要求しています。 ただし、場合によっては、身代金を支払っただけでは、機密データや貴重なデータへのアクセスを取り戻すのに十分ではありません。

このため、ランサムウェア攻撃に対応するよりも、ランサムウェア攻撃を防ごうとする方がはるかに優れています。 暗号化が始まる前にRyukマルウェアを検出できれば、組織にとって最小限のコストでインシデントを軽減できます。

チェック・ポイントのランサムウェア対策ソリューションを導入することで、組織はRyukやその他のランサムウェアの亜種から身を守ることができます。このツールは、一般的なランサムウェアの振る舞いを監視し、ゼロデイランサムウェアの亜種も検出できるようにします。 正規のプログラムは、大量のファイルを開いて暗号化するなど、同じ動作を示さないため、チェック・ポイントのランサムウェア対策ソリューションは、忠実度の高いランサムウェア検出を提供し、Ryukランサムウェア攻撃の試みに関連する損害とコストを最小限に抑えることができます。

×
  フィードバック
このWebサイトは、機能性と分析およびマーケティングの目的でCookieを使用しています。Webサイトを引き続きご利用いただくことで、Cookieの使用に同意したことになります。詳細については、Cookieに関する通知をお読みください。
OK