既存技術を用いたランサムウェア検出
目次:
私たちはランサムウェア攻撃による新たな危機の瀬戸際にあるようで、 Ransomware as a Service(サービスとしてのランサムウェア) モデルが初心者でも大きなゲームに参加できるようにしています。毎週、メディアは、有名な企業や政府機関が攻撃の被害者になり、システムがロックされ、機密データが盗まれたという見出しであふれています。これらの組織は、おそらくタイムリーなランサムウェア検出に必要なすべてを備えていたでしょうが、何らかの方法で攻撃者はセキュリティチームを打ち負かしました。
前述の危機は攻撃の数には関連していませんが、RaaSの提携者数の増加による攻撃の増加に応じて着実に増加しています。ファイルを暗号化する前のデータの窃取に関連しています。Covewareによって2020年11月に公開された 報告書 では、第3四半期にサイバー犯罪者が攻撃の約半分でデータをうまく流出させており、これは前の四半期の2倍です。報告書のもう1つの興味深い数字は、平均身代金支払い額はすでに23万ドルを超えているということです。
ランサムウェア攻撃とデータ流出
ランサムウェア攻撃は、サイバー犯罪者が高度なユーザーには簡単に回避される単純な画面ロックから、 大規模なスパムキャンペーン へとシフトした2000年代半ばに問題になりました。これらのスパムキャンペーンは基本的に法人以外のユーザーを対象にしていましたが、企業はほとんど脅威を感じることなくランサムウェアの検出機能が十分でした。2016年には最初のRansomware as a Serviceが登場し、個人への攻撃を目的としていました。2017年5月に WannaCry の発生により、組織が大きなターゲットになる可能性があることと、ランサムウェア攻撃からの復旧が非常に高価であることが示されました。 NotPetya がこれを確認し、すぐに大手プレイヤーは組織を攻撃してバックアップサーバーにアクセスし、回復の可能性を残さず、可能な限り多くのキーシステムを暗号化する方針に完全に切り替えました。2019年末には、 Maze RaaS の提携者が組織のネットワークに侵入した後、データを盗み始め、専用に作成されたリソースで被害者に圧力をかけ、非常に高額な身代金を払わせるために公開しました。報告によれば、現在ではサイバー犯罪者は毎回の攻撃でデータを盗んでいることが示されています。
暗黒面のブラックシープ
最近まで、サイバー犯罪者は比較的公正にプレイしており、身代金を支払った場合には、データが削除されたという証拠を提供していました。が、盗人には名誉はなく、現在では、攻撃者が身代金を受け取った後にデータを削除しない事例がますます増えています。少なくとも数回は Sodinokibi ランサムウェアの提携者が、暗号化されたシステムが復元された後、ファイルを削除するために繰り返しお金を要求しました。しかし、これは”腐敗した”提携者を持つ唯一のRaaSではありません。NetwalkerやMespinozaの攻撃者もファイルを削除せず、身代金を受け取った後に”技術的な問題”として機密情報を”サイト”に公開することが見られました。Contiランサムウェアを扱うグループは、データ削除の偽造証拠を送って被害者を欺こうとしました。
ファイル盗難の先駆者としてMaze RaaSとその提携者についても言及します。報告によれば、提携者が被害者に誘拐を知らせる前にデータを公開したケースがあります。Mazeの運営者はルールを違反した提携者を排除するとして、Sodinokibiの状況のように、攻撃された企業から再び身代金を得ようとしたり、ダークネット上でデータを販売しようとするものもいます。多数のセキュリティソリューションがランサムウェア検出を提供していることが状況を悪化させており、攻撃者は十分な数のシステムを暗号化できません。それでも、こうした半分失敗した攻撃から盗まれたデータを全て手に入れ、何らかの方法で少しでも利益を得ようとしています。
ランサムウェア攻撃の検出とその重要性
もちろん、ランサムウェア攻撃の検出は、継続的なサイバー防御において非常に重要です。組織がすでに持っているツールを使ってそれを実装できます。組織ごとに個別にコンパイルされたランサムウェアバイナリがあるとしても、いくつかのアンチウイルスソリューションはそれを認識し、無力化することができます。SIEMやNTDRソリューションにはランサムウェア攻撃を示す異常を特定するためのさまざまなルールがあります。しかし、ファイルの暗号化は攻撃の最終段階であり、機密データがすでにサイバー犯罪者の手に渡っているときのため、脅威を早期に検出することが同様に重要です。ランサムウェアのギャングは、組織のネットワークに侵入するために、RDP接続をブルートフォースしたり、ダークネットの市場で妥協された資格情報を購入したり、古き良きフィッシングを利用したり、既知の脆弱性を悪用したりすることができます。侵入後、攻撃者はアクティブディレクトリ(それからはすべてのワークステーションを中央で感染させるのが最も簡単)にアクセスしたり、すべてのバックアップを削除するためにバックアップサーバーにアクセスしたりし、途中で見つけたすべての機密データを集めます。 Ryuk ランサムウェアで悪名高いグループがチャンピオンとして考えられています。彼らはネットワークに侵入後5時間以内にシステムを暗号化することに成功しています。
ランサムウェア検出を容易にする
残念ながら、こうしたサイバー攻撃に対して100%の保護を提供するソリューションは存在しませんが、組織内に存在するセキュリティプラットフォームのランサムウェア検出機能を大幅に向上させることは可能です。毎月、Threat Bounty Programの開発者とSOC Prime Content Teamは、ランサムウェア攻撃の活発な段階を示す可能性のある技術、ツール、疑わしい活動を検出するのに役立つ数十のSOCコンテンツアイテムをThreat Detection Marketplaceに公開しています。結局のところ、ランサムウェアバイナリとその挙動を検出するだけでなく、サイバー犯罪者が偵察や横移動中に使用するさまざまなツールとエクスプロイトも検出することが重要です。これらのルールは、最も人気のあるSIEMおよびNTDRソリューションを含む複数のプラットフォーム用に翻訳されています。この記事の執筆時点では、Threat Detection MarketplaceはAzure Sentinel、Chronicle Security、Humio、Corelight、Sumo Logic、Elastic Stack、Carbon Black、CrowdStrike、Logpoint、RSA NetWitness、ArcSight、Splunk、QRadar、Apache Kafka ksqlDB、Microsoft Defender ATP、Sysmonを含む20以上のプラットフォームをサポートしています。新しいプラットフォームとインテグレーションを継続的に追加しているため、このリストに使用しているプラットフォームが見つからない場合は、 support@socprime.com に連絡して、このインテグレーションの開発を優先してください。
ご利用可能なコンテンツはこの リンクか、コンテンツの ページで確認できます。 Threat Detection Marketplace.
では、最近 Continuous Content Management (CCM)モジュールをリリースしました。このモジュールは、Azure SentinelとElastic Stackをサポートし、SOCコンテンツを直接SIEMインスタンスにストリーミングし、ランサムウェア検出機能を自動化するのに役立ちます。 ここ でCCMモジュールの利点を示すライブプレゼンテーションの録画をご覧いただけます。他のプラットフォームへのサポートも間もなく開始されます。CCMモジュールを使用すると、必要なSOCコンテンツの検索とインストールを自動化するだけでなく、すでに配備したルールをタイムリーに更新し、これらの更新を即座にSIEMインスタンスに追加することができます。
CCMモジュールを利用するには、個別のライセンスとして購入するか、追加費用なしでUniverseサブスクリプション階層の一部として購入することができます。それでも、14日間の無料トライアルをリクエストして無料で試すもう一つのオプションがあります。サインアップして Threat Detection Marketplace 脅威検出および応答能力を強化してください。
