ランサムウェアは、ユーザーまたは組織がコンピューター上のファイルにアクセスするのを拒否するように設計されたマルウェアです。 サイバー攻撃者は、これらのファイルを暗号化し、復号化キーの身代金の支払いを要求することで、身代金を支払うことがファイルへのアクセスを回復するための最も簡単で安価な方法であるという立場に組織を置きます。 一部の亜種では、データの盗難などの追加機能が追加されており、ランサムウェアの被害者が身代金を支払うインセンティブがさらに高まっています。
ランサムウェアは急速に最も多くなりました 有数 そして目に見えるタイプのマルウェア。 最近のランサムウェア攻撃は、病院が重要なサービスを提供する能力に影響を与え、都市の公共サービスを麻痺させ、さまざまな組織に重大な損害を与えています。
現代のランサムウェアブームは、2017年のWannaCryのアウトブレイクから始まりました。 この大規模で大きく報道された攻撃は、ランサムウェア攻撃が可能であり、潜在的に利益を生む可能性があることを実証しました。 それ以来、数十のランサムウェアの亜種が開発され、さまざまな攻撃に使用されてきました。
The COVID-19 pandemic also contributed to the recent surge in ransomware. As organizations rapidly pivoted to remote work, gaps were created in their cyber defenses. Cybercriminals have exploited these vulnerabilities to deliver ransomware, resulting in a surge of ransomware attacks.
In an age dominated by digital risks, a staggering 71% of companies have encountered ransomware attacks, resulting in an average financial loss of $4.35 million per incident.
In the year 2023 alone, attempted ransomware attacks have targeted 10% of organizations globally. This marks a notable rise from the 7% of organizations facing similar threats in the previous year, representing the highest rate recorded in recent years.
ランサムウェアが成功するためには、標的のシステムにアクセスし、そこでファイルを暗号化し、被害者に身代金を要求する必要があります。
実装の詳細はランサムウェアの亜種ごとに異なりますが、すべて同じコア3つの段階を共有しています
ランサムウェアは、他のマルウェアと同様に、さまざまな方法で組織のシステムにアクセスできます。 しかし、ランサムウェアのオペレーターは、いくつかの特定の感染経路を好む傾向があります。
その1つがフィッシングメールです。 悪意のあるメールには、悪意のあるダウンロードをホストしているWebサイトへのリンクや、ダウンローダー機能が組み込まれた添付ファイルが含まれている可能性があります。 電子メールの受信者がフィッシングに引っかかった場合、ランサムウェアがダウンロードされ、受信者のコンピューターに実行されます。
また、ランサムウェアの感染経路としてよく利用されているのは、リモートデスクトッププロトコル(RDP)などのサービスを利用します。 RDP を使用すると、従業員のログイン資格情報を盗んだり推測したりした攻撃者は、その資格情報を使用して、企業ネットワーク内のコンピューターを認証し、リモートでアクセスできます。 このアクセス権により、攻撃者はマルウェアを直接ダウンロードし、制御下のマシンで実行できます。
また、WannaCryがEternalBlueの脆弱性を悪用したように、システムに直接感染しようとするものもあります。 ほとんどのランサムウェアの亜種には、複数の感染経路があります。
ランサムウェアがシステムにアクセスした後、ファイルの暗号化を開始できます。 暗号化機能はオペレーティングシステムに組み込まれているため、ファイルにアクセスし、攻撃者が制御するキーで暗号化し、元のファイルを暗号化されたバージョンに置き換えるだけです。 ほとんどのランサムウェアの亜種は、システムの安定性を確保するために、暗号化するファイルの選択に慎重です。 一部の亜種は、ファイルのバックアップとシャドウコピーを削除して、復号化キーなしでの回復をより困難にする手順も実行します。
ファイルの暗号化が完了すると、ランサムウェアは身代金を要求する準備が整います。 ランサムウェアの亜種によってさまざまな方法でこれを実装していますが、表示の背景が身代金メモに変更されたり、身代金メモを含む暗号化された各ディレクトリに配置されたテキスト ファイルに変更されたりすることは珍しくありません。 通常、これらのメモは、被害者のファイルへのアクセスと引き換えに、一定量の暗号通貨を要求します。 身代金が支払われた場合、ランサムウェアのオペレーターは、対称暗号化キーの保護に使用される秘密キーのコピー、または対称暗号化キー自体のコピーを提供します。 この情報は、復号化プログラム(これもサイバー犯罪者によって提供されます)に入力され、それを使用して暗号化を元に戻し、ユーザーのファイルへのアクセスを復元できます。
これら 3 つの主要なステップはすべてのランサムウェアの亜種に存在しますが、ランサムウェアが異なれば、実装や追加の手順も異なります。 たとえば、Mazeのようなランサムウェアの亜種は、データを暗号化する前にファイルスキャン、レジストリ情報、およびデータの盗難を実行し、WannaCryランサムウェアは他の脆弱なデバイスをスキャンして感染して暗号化します。
Ransomware has evolved significantly over the past few years. Some important types of ransomware and related threats include:
ランサムウェアの亜種は数十種類存在し、それぞれに独自の特徴があります。 ただし、一部のランサムウェアグループは他のグループよりも多作で成功しており、群衆から際立っています。
Ryuk は、非常に標的を絞ったランサムウェアの亜種の一例です。 通常、スピアフィッシングメールを介して配信されるか、侵害されたユーザー資格情報を使用して、リモートデスクトッププロトコル(RDP)を使用してエンタープライズシステムにログインすることによって配信されます。 システムが感染すると、Ryukは特定の種類のファイルを暗号化し(コンピューターの動作に不可欠なファイルを除く)、身代金を要求します。
Ryukは、現存するランサムウェアの中で最も高価なタイプの1つとしてよく知られています。 リュークは身代金を要求し、 平均100万ドル以上.その結果、Ryukの背後にいるサイバー犯罪者は、主に彼らの要求を満たすために必要なリソースを持っている企業に焦点を当てています。
ザ 迷路 ランサムウェアは、 ファイルの暗号化とデータ窃盗を組み合わせる.標的が身代金の支払いを拒否し始めると、Mazeは被害者のコンピューターから機密データを収集し、暗号化し始めました。 身代金の要求が満たされない場合、このデータは公開されるか、最高入札者に販売されます。 高額なデータ侵害の可能性は、支払いのための追加のインセンティブとして使用されました。
Mazeランサムウェアの背後にいるグループは、 正式に営業終了.ただし、これはランサムウェアの脅威が軽減されたことを意味するものではありません。 一部のMazeアフィリエイトはEgregorランサムウェアの使用に移行しており、Egregor、Maze、Sekhmetの亜種には共通のソースがあると考えられています。
REvilグループ(別名:Sodinokibi) は、大規模な組織を標的とする別のランサムウェアの亜種です。
REvilは、ネット上で最もよく知られているランサムウェアファミリーの1つです。 2019年からロシア語を話すREvilグループによって運営されているランサムウェアグループは、「Kaseya」や「JBS」などの多くの大規模な侵害に関与しています
過去数年間、最も高価なランサムウェアの亜種の称号をめぐってRyukと競合してきました。 REvilには、 800,000ドルの身代金の支払いを要求した.
REvilは従来のランサムウェアの亜種として始まりましたが、時間の経過とともに進化してきました。
彼らは二重恐喝技術を使用して、ファイルを暗号化しながら企業からデータを盗みます。 つまり、攻撃者は、データを復号化するために身代金を要求するだけでなく、2回目の支払いが行われない場合、盗んだデータを解放すると脅迫する可能性があります。
LockBitは、2019年9月から運用されているデータ暗号化マルウェアであり、最近ではランサムウェア・ア ズ・ア・サービス(RaaS)となっています。 このランサムウェアは、セキュリティアプライアンスやIT/SOCチームによる迅速な検出を防ぐ方法として、大規模な組織を迅速に暗号化するために開発されました。
2021年3月、MicrosoftはMicrosoft Exchangeサーバー内の4つの脆弱性に対するパッチをリリースしました。 DearCryは、Microsoft Exchangeで最近公開された4つの脆弱性を悪用するように設計された新しいランサムウェアの亜種です
DearCryランサムウェアは、特定の種類のファイルを暗号化します。 暗号化が完了すると、DearCryは身代金メッセージを表示し、ファイルを復号化する方法を学ぶためにランサムウェアオペレーターに電子メールを送信するようにユーザーに指示します。
Lapsus$は南米のランサムウェアギャングで、一部の有名な標的に対するサイバー攻撃に関連しています。 サイバーギャングは恐喝で知られており、被害者からの要求がなければ機密情報を公開すると脅迫しています。 このグループは、Nvidia、Samsung、Ubisoftなどへの侵入を誇っています。 このグループは、窃取したソースコードを使用して、マルウェア ファイルを信頼できるファイルに偽装します。
A successful ransomware attack can have various impacts on a business. Some of the most common risks include:
Ransomware can target any company across all industry verticals. However, ransomware is commonly deployed as part of a cybercrime campaign, which is often targeted at a particular industry. The top five ransomware target industries in 2023 include:
ランサムウェア攻撃に備えて適切な対策を講じておくことで、攻撃に遭遇した場合の被害額と影響を大幅に抑えられます。 以下のベスト プラクティスを実践すれば、攻撃にさらされるリスクを軽減し、その被害を最小限にすることが可能です。
ランサムウェアに感染した場合に生じる潜在的なコストは高額であるため、予防的対策を講じることが最良の防御戦略となります。 具体的には、以下の要因に対処して攻撃対象範囲を縮小する必要があります。
ユーザーのすべてのファイルを暗号化する必要があるということは、ランサムウェアがシステム上で実行されるときに一意のフィンガープリントを持つことを意味します。 ランサムウェア対策ソリューションは、これらのフィンガープリントを識別するように構築されています。 優れたランサムウェア対策ソリューションの一般的な特徴は次のとおりです。
身代金メッセージは、ランサムウェア感染が成功したことを明らかにするため、誰もが自分のコンピューターで見たいものではありません。 この時点で、アクティブなランサムウェア感染に対応するためにいくつかの手順を踏むことができ、組織は身代金を支払うかどうかを選択する必要があります。
ランサムウェア攻撃の成功の多くは、データの暗号化が完了し、感染したコンピューターの画面に身代金メモが表示された後にのみ検出されます。 この時点で、暗号化されたファイルは回復できない可能性がありますが、いくつかの手順をすぐに実行する必要があります。
チェック・ポイントの ランサムウェア対策 テクノロジーは、ランサムウェアの最も巧妙で回避的なゼロデイ亜種から防御し、暗号化されたデータを安全に回復して、ビジネスの継続性と生産性を確保する専用のエンジンを使用しています。 このテクノロジーの有効性は、当社の研究チームによって日々検証されており、攻撃の特定と軽減において一貫して優れた結果を示しています。
チェック・ポイントの業界をリードするエンドポイント防御および対応製品であるHarmony Endpointは、ランサムウェア対策テクノロジーを搭載し、業界をリードするチェック・ポイントのネットワーク保護を活用して、Webブラウザとエンドポイントを保護します。Harmony Endpointは、すべてのマルウェア脅威ベクトルに対して完全なリアルタイムの脅威対策と修復を提供し、従業員が生産性を損なうことなく、どこにいても安全に作業できるようにします。