ランサムウェア攻撃は、事実上あらゆる業種のあらゆる組織に影響を与える可能性があります。しかし、サイバー犯罪者にとってより魅力的な標的となる業界がいくつか存在します。セキュリティプロバイダーのバラクーダは、8月24日水曜日に発表したレポートで、どのような企業がランサムウェアの標的となっているかを解説し、これらの攻撃に対抗するためのアドバイスを提供しています。
バラクーダが検知したランサムウェア脅威の数は、2022年1月から6月にかけて急増し、月間120万件を超えました。実際のランサムウェア攻撃の件数は1月に増加しましたが、5月には減少に転じました。
バラクーダの研究者は、広く報道された攻撃 106 件に焦点を当て、主な被害者として 5 つの業界を発見しました。攻撃の 15% が教育、12% が地方自治体、12% が医療、8% がインフラ、6% が金融の標的でした。
標的の業界ではランサムウェア攻撃が増加
過去12ヶ月間、自治体への攻撃はわずかに増加しましたが、教育機関への攻撃は2倍以上に増加し、医療機関や金融機関への攻撃は3倍に増加しました。同時期に、重要インフラへの攻撃は4倍に増加しており、これはサイバー犯罪組織や敵対的な国家が、最初の被害者への影響に加えて、可能な限り多くの二次被害を及ぼそうとしていることを示しています。
参照: ランサムウェア・アズ・ア・サービス攻撃から組織を守る方法 (TechRepublic)
最も標的となった5つの業界に加え、他の業界もランサムウェア攻撃の矢面に立たされています。バラクーダが分析した攻撃の14%はサービスプロバイダによるものでした。ITサポートやその他のビジネスサービスを提供するこれらの組織は、顧客やクライアントへのアクセスを保有しているため、ランサムウェア攻撃の影響を受ける可能性があります。
自動車会社、ホスピタリティ企業、メディア企業、小売企業、ソフトウェアプロバイダー、テクノロジー組織に対するランサムウェア事件も過去 12 か月間で増加しました。
ランサムウェアの実態
ランサムウェアの一般的な仕組みを説明するために、バラクーダのレポートでは 3 つの異なる企業に対する攻撃を取り上げました。
ブラックマター
2021年8月に発生したインシデントでは、BlackMatterランサムウェアグループの攻撃者が、従業員のアカウントを侵害することを目的としたフィッシングメールを組織に送信しました。ネットワークへのアクセスを取得した攻撃者は、ネットワーク内をスキャンして水平移動し、ハッキングツールをインストールして機密データを窃取しました。
2021年9月に身代金要求を受けた同社は、マネージドサービスプロバイダーに連絡し、プロバイダーはバラクーダに支援を要請しました。感染したシステムを隔離し、パスワードをリセットした後、暗号化されたシステムはバックアップから再イメージ化されました。同社は身代金を当初の要求額の半額にまで交渉できましたが、それでも攻撃者は盗んだデータを漏洩させました。
カラクルト
2021年10月に発生したインシデントでは、Karakurt Data Extortion Groupが組織のVPNログインページに対してブルートフォース攻撃を仕掛けました。この攻撃により、サイバー犯罪者は複数のドメインコントローラーを侵害し、RDPを使用して侵害したシステムにアクセスしました。翌月、攻撃者はファイアウォールルールの変更を開始しました。
2022年1月に身代金要求が届いた後、バラクーダは侵入の痕跡(IOC)を発見してブロックし、被害を受けたアカウントをリセットし、専用のセキュリティ情報イベント管理(SIEM)ルールを作成しました。しかし、盗まれたデータは2月にオンラインで漏洩しました。
ロックビット
また別の事件では、LockBitサイバー犯罪グループの攻撃者が盗んだ認証情報を使用して、MFAを導入していない企業のVPNログインページにサインインすることに成功しました。サイバー犯罪者は悪意のあるPowerShellスクリプトを使用し、システムレベルのDLL(ダイナミックリンクライブラリ)をインストールすることで、さらに多くの認証情報を盗み出し、重要なパスワードにアクセスしました。
攻撃者は、Microsoftがセキュリティアップデートのサポートを終了したWindows 7搭載のPCにも侵入しました。身代金要求を受けた同社は、支援を求め、疑わしいファイルの隔離とActive Directoryの再構築を行いました。
バラクーダがランサムウェア攻撃に対抗するためのヒントを提供
報告書で引用されている3件のインシデントには、いくつかの共通点があります。攻撃は1週間や1日ではなく、数ヶ月にわたって実行されたことです。VPNは、攻撃者を重要なネットワーク資産に容易に誘導できるため、常に人気の標的です。また、認証情報はフィッシング攻撃によって盗まれたり、ダークウェブで購入されたりしました。
参照: 39 ドルで今日のトップ サイバー セキュリティ資格のトレーニングを受ける (TechRepublic Academy)
シングル サインオンのために Microsoft 365 にリンクする電子メール アカウントの資格情報は便利ですが、侵害されると、企業ネットワークへの侵入口が開かれる可能性があります。
組織がこうした種類のランサムウェア攻撃に対抗できるよう、バラクーダではいくつかのヒントを提供しています。
- マクロを無効にする:特定の種類のマルウェアを防ぐには、電子メールで送信された Microsoft Office ファイルのマクロ スクリプトを無効にします。
- ネットワークをセグメント化します。ネットワークがセグメント化されていることを確認すると、ランサムウェアの拡散が軽減され、攻撃が横方向に広がるのを防ぐことができます。
- 使用されていないアプリケーションや許可されていないアプリケーションを削除する:リモート デスクトップ プログラムやリモート監視プログラムに特に注意しながら、侵害に使用される可能性のある許可されていないソフトウェアを確認して削除します。
- Web アプリケーションと API 保護サービスの強化:ハッカーや悪意のあるボットから Web アプリケーションを守るには、分散型サービス拒否 (DDoS) 攻撃を防ぐサービスを含む適切な保護サービスを有効にしてください。
- バックアップに使用される資格情報とアクセス制御を確認する:オフラインおよびクラウドベースのバックアップのアカウント資格情報は、通常のシステムのものと異なる必要があります。
