fbpx

CryptoLockerについて知っておくべき5つのこと

クリプトロッカー:サイバー犯罪の歴史

ランサムウェア攻撃は10年以上にわたって発生していますが、大規模な攻撃が見られるのは過去数年のことです。コンピュータセキュリティの専門家は、この種の攻撃の増加は、より困難になった他のサイバー犯罪と比較して成功率が高いためであると理論づけています。さらに、最近では、ランサムウェア用のソフトウェアは安価ですぐに入手できます。攻撃者は、攻撃を実行するために悪意のみを必要とします。 コーディングは必要ありません!

ランサムウェアに感染すると、被害者には2つの選択肢があります。身代金を支払うか、ファイルへのアクセスを完全に失うかです。ファイルの暗号化に使用されるマルウェアは防御が困難な場合があり、ほとんどの場合、暗号化を解除することはできません。

ランサムウェアは犯罪者にとって魅力的なものになりました。なぜなら、多くの個人や企業が不完全なデータバックアップを持っていること、またはまったくバックアップがないことを知っているため、身代金を支払ってファイルを回復する可能性が高いためです。犯罪者は概して、次のような選択肢によって身代金要求を低く抑えました:a)支払われる可能性が高い; b)法執行機関によって調査される可能性は低い。

多くの人が身代金を支払いました。FBIでさえ、場合によっては「身代金を支払う」ように企業に助言しました。残念ながら、攻撃者に報いることは、そのような恐喝スキームの拡大を促す戦略です。さらに、身代金が支払われた後、ファイルが復号化される保証ありませ

2014年、CryptoLockerマルウェアは、ランサムウェアを駆り立てたコマンドアンドコントロールセンターとGameOver Zeusボットネットのシャットダウンに成功した、セキュリティ会社と法執行機関の国際的な協力であるオペレーショントバーによってほぼ中和されました。

しかし、ランサムウェアの惨劇はまだ終わりではありません。CryptoLockerは、その成功の結果として、多数の模倣者を生み出しました。Cyber​​ Threat Allianceによると、彼らは2016年に大混乱をもたらすと約束しています。

ランサムウェアの新世代

2014年のCryptoLockerの廃止は、CryptoWallの価値ある後継者に代わるものであり、その後、ランサムウェアの最も厄介で最も成功した株の1つに進化しました。

CryptoWall は、電子メールの添付ファイル、エクスプロイトキット、ドライブバイダウンロードを介して届くことが知られています。これは、ユーザーが意図せずにウイルスやマルウェアをダウンロードした場合に発生します(通常、古いブラウザーまたはOSが原因です)。最近、複数の署名済みCryptoWall 3.0サンプルを含む新しいキャンペーンが、人気のあるファイル共有およびホスティングサービスであるMediaFire からダウンロードされるファイルに登場しました。

CryptoWall はすでに痛みをもたらしています

CryptoWall3(CW3)脅威に関する2015年のレポートで、サイバー脅威アライアンスは次のような驚くべき発見をしました:

  • 4,046のマルウェアサンプル
  • 839コマンドおよびコントロールURL
  • コマンドと制御に使用される5つの第2層IPアドレス
  • 49のキャンペーンコード識別子
  • • 406,887件のCW3への感染の試み

2016年2月、ランサムウェアの新しいバージョンが登場しました。Lockyとして知られているこのモデルは、非対称(公開キー)暗号化を使用してユーザードキュメントをロックし、復号化キーの身代金を要求する同じモデルに従います。専門家は、Locky が最もアクティブで有利なマルウェア株の1つになる可能性が高いと示唆しています。以前の株と同様に、その配信方法は主に、Locky ペイロードのダウンロードを担当するスパムメールの添付ファイルでした。

Locky は2016年2月のハリウッド長老派医療センターでの違反の責任者で、約17,000ドルの身代金を支払いました。結局、病院が電子カルテへのアクセスを回復し、従業員の電子通信能力を回復するために病院に支払うのは少額の費用でした。

ランサムウェアはビジネスの後に登場し、高価になりつつあります

専門家によると、ランサムウェアはスイートスポットになりました。ユーザーは、貴重なデータの返還と引き換えに、不本意ながら高額な身代金を支払っています。

しかし、これらのキャンペーンの成功は、主に個人を対象としているため、加害者はビジネスに目を向けるようになりました。新たに発見されたランサムウェアの亜種は、特に厄介なLinuxに焦点を合わせています。企業のWebサイトやコードリポジトリに影響を与える可能性が高く、重要な知的財産を失うリスクよりも、支払いに積極的になる傾向があるためです。

ランサムウェアが集中し、より企業になると、それはだ、感染した企業は、消費者の料金を払って逃げるとは考えにくいです。ランサムウェアキャンペーンの背後にいる犯罪者は精通しており、適切にバックアップされていないソースコードと財務文書をロックしていることに気づくと、身代金が急増することを期待して支払われることができます。

AVとマルウェアの保護が十分ではない理由

CryptoWall は、企業と個人ユーザーの両方にとって依然として強力な脅威です。従来のアンチウイルス(AV)アプリケーションはこれや他の多くのランサムウェア株と闘っています。感染が成功すると、シグネチャを反応的に追加したとしても、AVベンダーができることはほとんどありません。

適切な保護を提供するために単一の製品に依存することはできないため、ランサムウェアの脅威に対抗するには、多層的なセキュリティアプローチが必要です。

侵入防止システム(IPS)、アンチウイルス、サンドボックス、Webフィルタリング、IP レピュテーションスコアリング、アンチスパムサービスなどのソリューションの組み合わせにより、CryptoWall やその他の高度な脅威に対するネットワークの脆弱性を大幅に減らすことができます。SSLの使用は劇的に増加し、間もなくすべてのWebトラフィックの大部分を占めるようになるため、SSL によるトラフィックの検査は重要です。さらに、攻撃者はSSL暗号化メッセージに悪意のあるコンテンツを隠しています。

「2016 年末までに、SSLはすべてのWebトラフィックの60 %を消費すると予想されています。」

多層化されたアプローチは、相互に連携して実行されるさまざまな個別の保護に依存しています。たとえば、WebフィルタリングソリューションはCryptoWall C2 サイトへのアクセスをブロックし、侵入防止システムはCyptoWall ペイロードの配信を中断することができ、ウイルス対策とサンドボックスはCryptoWall 感染を検出してブロックすることができます。これらの高度なセキュリティソリューションは「キルチェーン方法論」として知られており、連携してさまざまな感染経路を閉鎖します。

これらのソリューションのいくつかは、特にウイルス対策、あるかなりユビキタス。しかし、ランサムウェアは常に変化しており、亜種はAVおよびその他のレガシーセキュリティソリューションを通過しています。その結果、より高度なソリューション、特に多層ソリューションは、今日の世界では不可欠であると見なす必要があります。

新しい攻撃スタイル:今すぐ支払うか後で支払う

2016年3月、Maktub Lockerと呼ばれる新しいランサムウェアファミリーは検出されブロックしました。ラボでマルウェアを爆発させたところ、バックグラウンドでユーザーファイルを暗号化するときに、偽のリッチテキスト形式(RTF)ドキュメントを起動することがわかりました。ファイルの暗号化が完了すると、Maktubは時間に敏感な身代金メモを表示します。身代金の支払いは、復号化キーを取得するために1.4ビットコインから始まります。しかし、身代金が72時間以内に支払われない場合、身代金は最大3.9ビットコインになります。

「2016年にはランサムウェアがますます企業中心になることを期待してください。そうすることで、企業は消費者料金の支払いから逃れることができなくなります。」

データとユーザーを今すぐ保護する方法

ランサムウェア攻撃の脅威にさらされている場合、バックアップシステムと冗長システムを配置して、データを常に安全に利用できるようにすることが最も重要です。クラウドバックアップシステムは、安全なオフサイトストレージのためにますます推奨されています。

ランサムウェアは、犯罪に不本意な共犯者になることをユーザーに依存しているため、最善の防御策は、脅威を理解し、感染を回避する方法を知っている十分に訓練されたユーザーを用意することです。いくつかのベストプラクティスは次のとおりです。

  • ユーザーは、システム上のオペレーティングシステム、デバイスファームウェア、およびアプリケーション(特にウイルス対策およびWebブラウザー)が最新であることを確認する必要があります。
  • ユーザーは、フィッシング技術について訓練を受ける必要があります。たとえば、常に電子メールメッセージを送信する人の名前に注意を払います。特にリンクや添付ファイルが含まれている場合は、不明な送信者や迷惑メールを信頼しないように警告する必要があります。
  • ユーザーは、受信する添付ファイルのファイルタイプにも注意を払う必要があります。 「.zip」のファイルは、CryptoWallで使用されていた「.scr」のような他の一般的ではないファイルタイプとともに、赤いフラグを付ける必要があります。
  • 最も人気のあるすべてのWebブラウザーは、ユーザーが個別にアクティブ化することを選択するまで、Java、Flash、Silverlightなどのプラグインを自動的にブロックする機能を提供します。これらの保護がオンになっていること、およびユーザーが信頼できるソースからのプラグインのみをアクティブにすることを確認してください。

ランサムウェアに対するあなたの最高の保護はクラウドにあります

ランサムウェアを作成する人々は、本物に似た電子メールメッセージを作成するのが得意です。信頼できるソースからの正当な送信者であることがよくあります。サイバー犯罪者は、ユーザーに到達できれば、ミッションを達成できる可能性が高いことを知っています。現在、このようなスキームはビジネスを対象としているため、悪意のあるファイルやサンドボックスの疑わしいトラフィックをブロックできる多層保護を実装することが重要です。さらに、システムは、メッセージが他の保護を通過できる場合にマルウェアがダウンロードされるのを防ぎます。

ハッカーは、多くの場合、タンデムで方法を組み合わせて使用します。そのため、8つの異なるセキュリティエンジンによってトラフィックがリアルタイムで検査されるため、調整された攻撃をすばやく発見し、ネットワークに侵入する前にブロックすることができます。

SSLを含むすべてのトラフィックを検査します

多くの(ほとんど!)組織はSSLトラフィックを検査しません。SSLトラフィックは非常に計算集約的であるためです。彼らはしてより多くの機器を購入しなければならない多対と8倍に負荷アップを処理し、それはだだけでほとんどの時間を現実的ではありません。しかし、最新のセキュリティ対策では暗号化されたトラフィックをグローバルなクラウドスケールで処理するように構築されているため、SSLの問題は問題になりません。最新のセキュリティ対策では、暗号化されたトラフィックを含むトラフィックのすべてのバイトをリアルタイムで検査するため、脅威が隠れることはありません。

最新のセキュリティ対策は受信トラフィックを使用して、ウイルス、アドウェア、スパイウェア、悪意のあるJavascript 、不正なファイル、およびシステムとネットワークを混乱させる可能性のあるその他のものを探します。

アウトバウンドトラフィックでは、悪意のあるURLリクエスト、クロスサイトスクリプティング、およびコマンドアンドコントロールセンター(ランサムウェアがデータを制御する方法)に向かうボットネットトラフィックを監視します。ランサムウェアがC&Cサーバーに到達できない場合、データを見つけて暗号化することはできません。

疑わしいトラフィックがあるときにアラートを送信するだけではありません。識別されたゼロデイ攻撃、インバウンドマルウェア、感染したデバイスからのアウトバウンドボットネット通信、アウトバウンドデータの漏洩を自動的にブロックします。

場所やデバイスを問わず、すべてのユーザーを保護します

脅威インテリジェンス、ボットネット検出、クラウドサンドボックスなどの統合セキュリティ機能は、リアルタイムで連携して包括的な保護を提供します。また、ネットワーク上またはネットワーク外のすべてのユーザーに、個人および会社所有のさまざまなデバイスでその保護を提供します。

攻撃者はインフラストラクチャの最も脆弱な部分を標的とし、多くの組織がリモートオフィス、戦士、モバイルデバイス、インターネットに接続されたものの保護に重大なギャップを抱えていることを知っています。パブリックWi-Fi接続上のモバイルデバイスのユーザーは、本社ネットワークに配線されたユーザーとまったく同じ保護を受けます。

クラウドインテリジェンスはすべてのユーザーにメリットがあります

大規模なグローバルなクラウドセキュリティプラットフォームは、ピーク時に100B以上のトランザクションを処理します。疑わしいオブジェクトは、制御されたサンドボックスで自動的に実行および監視され、ゼロデイ脅威などの悪意のある動作はすべて記録、分析、ブロックされます。何よりも、1500万人以上のユーザーのいずれかで脅威が発見された場合、すべてのユーザーに対して脅威がブロックされます。

セキュリティプラットフォーム

世界中の何千もの企業や政府機関の1500万人以上の従業員を、企業や規制のポリシーに完全に準拠しながら、サイバー攻撃やデータ侵害から保護します。受賞歴のあるクラウドセキュリティプラットフォームは、あらゆるユーザー、あらゆるデバイス、あらゆる場所に安全で生産的なインターネットエクスペリエンスを提供します。

効果的にセキュリティをインターネットバックボーンに移動し、世界中の150を超えるデータセンターで運用し、組織が比類のない妥協のない保護とパフォーマンスを備えたクラウドとモバイルコンピューティングの約束を完全に活用できるようにします。

SNSでもご購読できます。

コメントを残す

*