Double Extortion ランサムウェア攻撃が企業に与える影響と軽減策

のランサムウェア攻撃しばらくの間存在しており、セキュリティの専門家はそれと実質的に戦っています。彼らは提供しましたこの攻撃の蔓延を減らす方法個人と企業について。しかし、悪意のあるアクターの手口も同じペースで進化しており、被害を引き起こし続けています。

2019 年、世界はランサムウェア攻撃の新しい方法である二重恐喝を経験しました。悪意ある集団による攻撃は――迷路、セキュリティ会社であるAllied Universalを標的にしました。セキュリティ会社から盗まれたデータの 10% は、コンプライアンス違反に対する脅威アクターからの警告として、後に公開されました。 Maze グループは身代金として 350 万ドルも要求しました。

2020 年には、REvil、Ragnar-locker、Lock bit などの悪意のあるグループが Maze に参加して、企業の壊滅的な悪用に成功しました。すでに、以上1200社がこの戦術の犠牲になりました。 2021 年には 200 億ドル2031 年までに 2,650 億ドルの費用がかかると予測されています。企業の 1 つは、大規模な IT サービス プロバイダーである Cognizant でした。同社は約 7000 万ドルを失った。攻撃、歴史上最も致命的なものの1つ。

二重恐喝ランサムウェア攻撃とは

二重恐喝ランサムウェア攻撃では、悪意のあるアクターがネットワークへの不正アクセスを取得して、身代金の支払いを期待してデータを抽出および暗号化します。単なるランサムウェア攻撃とは対照的に、この方法はバックアップ データの影響を減らします。攻撃者は、抽出されたデータを利用して被害者に圧力をかけています。被害者が拒否した場合、データを公開したり、競合他社に販売したりすることもできます。

実行に成功すると許しがたい結果をもたらす二重恐喝。被害者は、脅威アクターによる金銭的損失、またはコンプライアンスや公の場での名誉毀損のいずれかに直面します。

2022 年になっても、この攻撃手順は依然として増加しています。によるZscaler Threatlabz レポート、医療部門では二重恐喝が 650% 増加し、フードサービスでは 450% 増加しました。また、他のセクターもこの攻撃に対して脆弱であり、RAAS が関与することで被害が拡大し続けています。

Double Extortion ランサムウェア攻撃のしくみ

二重恐喝ランサムウェア攻撃は、データの暗号化や DDOS のような壊滅的な能動的攻撃に変わる受動的攻撃として始まります。これらの一連の攻撃は、攻撃者が攻撃ベクトルを通じて企業のシステムにアクセスする必要があるプロセスから始まります。

攻撃ベクトルは、フィッシング、リモート デスクトップ サーバーでのブルート フォース、マルウェア、脆弱性の悪用などを含む、ソーシャル エンジニアリングまたはプログラミングである可能性があります。

攻撃者は、システムへのアクセスを取得した後、横方向の移動を通じて偵察攻撃を行います。この段階では、攻撃者は元のユーザーになりすまして検出を逃れ、潜在的な攻撃に関する貴重な情報を取得しているため、依然として受動的な攻撃です。

悪意のあるアクターが貴重なデータを収集すると、データを盗み出し、データを暗号化する悪意のあるコードを展開します。

企業に対する二重恐喝ランサムウェア攻撃の影響

グループ IB は、そのレポートで、 ハイテク犯罪の傾向 2021/2022によると、二重恐喝ランサムウェア攻撃の被害額は約 935% 増加しました。影響を受ける企業に対するこれらの損害の影響は、規模によっては非常に大きくなる可能性があります。さらに、これらの企業の復旧にかかる時間は、対応の速さと攻撃の深さによって異なります。

ブランドの毀損

企業は、データ漏洩や DDOS によってブランドが損なわれるリスクがあります。旅行代理店であるトラベレックスは、その評判が地に落ちたのを目の当たりにしました。 レビルアタック2019年の大晦日に。

REvil は、サービスを中断して顧客を立ち往生させた後、会社が身代金の支払いを拒否した場合、流出したデータを公開すると脅迫しました。ここでの二重恐喝ランサムウェア攻撃は壊滅的なものでした。Travelex がサービスの復元とデータ漏洩の防止を順守したとしても、守秘義務の侵害と DDOS によって評判が損なわれたからです。

資金の損失

企業は、ランサムウェア イベントによる多額の資金の損失を回避するために、バックアップ データに依存しています。それにもかかわらず、二重恐喝の場合、これが依然として非常に効果的である可能性は低い.

攻撃者は、盗み出されたデータを利用するようになりました。ハッキングされた企業は、数百万ドル相当の身代金を支払うか、機密情報を公の場で漏洩させる必要があります。これらの企業の貴重なデータが一般に公開されることで、彼らはコンプライアンスに関する多額の罰金を科せられる可能性があります。 2017年のEquifax .

さらに、需要に屈しない企業は、空売りされたときに株式の価値を失うリスクがあります。 FBIのサイバー部門勧告によると-民間事業者届出、この方法は、ハッキング フォーラムで Revil Ransomware メンバーによって 2020 年に導入されました。そして攻撃者は、恐喝を助長するためにこの手段を容赦なく使用しています。したがって、組織は、この形式の攻撃を受けると、巨額の資金を失うことになります。

第三者アソシエイトの脆弱性

攻撃者は企業ネットワークに完全にアクセスできるため、パートナーや消費者データへのアクセスをエスカレートできます。これにより、攻撃者はこれらのデータを盗み出し、パートナーや消費者に身代金を要求できます。

このイベントの例は、 Vastaamo ハッカー -データがアクセスされた患者は、身代金を支払う必要がありました。もう一つは、 REvil は Apple Inc. に警告しました。 5000万ドルの身代金を支払うために。 Quanta Computer Inc. との貴重な情報が侵害されたため、Apple にとっては困難でした。

二重恐喝ランサムウェア攻撃の蔓延

二重恐喝法の使用は、その成功のおかげで 3 倍になりました。 Titaniam ランサムウェア調査レポート、は、2022 年にデータ流出が 106% 急増し、攻撃者の成功率が 60% であることを記録しています。オッズは悪意のある攻撃者に有利に傾いており、ハッキングまたはハッキングの再発を免れる企業はありません。

貴重なスタッフの喪失

このインシデントの悪影響により、企業は貴重なスタッフのほとんどを失う可能性があります。 2022年によるとCybereason ランサムウェア レポート、企業の 40% は、攻撃後に解雇または辞職したためにスタッフを失いました。

一部の大小の企業は、資金を大幅に失った後、賃金を支払うことができず、従業員を失います。一部のシナリオでは、攻撃者が 2 倍の身代金を要求したため、多額の資金が失われました。

一方、NASDAQ などのプラットフォームで重要な情報にさらされた後、株価が下落するために発生する可能性があります。

Double Extortion ランサムウェア攻撃の緩和

二重恐喝ランサムウェア攻撃が増加しているため、攻撃後まで待つ必要はありません。積極性は、この攻撃に対抗する最善の方法です。企業に侵入する可能性をなくすことはできないかもしれませんが、可能性を最小限に抑えます。また、違反した場合の損失を最小限に抑えます。

ゼロ トラスト ポリシーを適用する

企業は、最も機密性の高い領域であっても、個人がネットワークへの特権アクセスを取得できるようにします。これが発生すると、彼らはアーキテクチャをランサムウェア攻撃に対して脆弱な場所に置きます.

企業は、ネットワークへのアクセスを制限することにより、ゼロトラスト ポリシーを実践する必要があります。内部関係者を含め、ネットワーク内のすべての要素を潜在的な脅威と見なす必要があります。アクセスを許可する前に、要素の認証を強制する必要があります。

もう 1 つの推奨事項は、許可されたすべてのアクセスに対してネットワーク セグメンテーションを作成することです。これにより、マルウェアの拡散が制限されます。

データの暗号化

この一連の攻撃を使用する悪意のあるアクターのプレッシャー ポイントは、身代金の支払いを拒否した場合にデータを盗み出し、それを公開できることです。ただし、企業はデータを最初から暗号化することで一歩先を行くことができます。

データを暗号化することにより、悪意のあるアクターがデータにアクセスすることを拒否したため、彼の交渉力が低下します.脅威アクターは、データ漏えいを脅かすことができなくなります。彼ができる最悪のことは、データを二重に暗号化することです。

オフラインバックアップ

二重恐喝により、オフライン バックアップは、悪意のあるアクションを軽減するための効率の悪いオプションとして表示されます。それにもかかわらず、データ暗号化を実践すれば、オフライン バックアップによって会社を損害から救うことができます。これにより、攻撃者がデータを二重に暗号化した場合でも、オフラインでバックアップ データにフォールバックできます。

社員教育

covid 19 の出現により、リモートでの仕事の割合が急増しました。より多くの従業員が、外部ルーターを介して機密性の高いネットワークにアクセスできるようになりました。この開発により、労働者の生活は楽になりますが、雇用主にはより多くの脆弱性が生じます。

攻撃者は、一部の従業員の無知を悪用して悪用します。従業員でさえ、意図しない脅威になる可能性があります。それにもかかわらず、これは感作で回避できます。推奨事項は、企業がランサムウェア攻撃とその影響に対する内部認識を強化することです。

ネットワークとパッチの脆弱性を評価する

企業は、インフラストラクチャの規模に応じて、2 つの方法でネットワークの抜け穴を評価します。彼らは、侵入テスターによる脆弱性評価またはシミュレーションを実施できます。これにより、潜在的な攻撃を容易にするセキュリティ ギャップや設定ミスを特定できます。

また、Travelex の場合のように、すべての脆弱性に迅速にパッチを適用し、必要なセキュリティ アップデートを実施することも重要です。 REvil 攻撃の前に、セキュリティ研究者である Kevin Beaumount は次のように述べています。 一部の組織のネットワークで脆弱性が発見されました2019 年 8 月以来。しかし、Travelex はパッチを適用することに消極的でした。

監視データログ

企業は、何か異常が発生したときに警告を発するツールを使用して、ネットワーク内のパケット アクティビティを監視できます。データ ログを監視することで、マルウェア攻撃を即座に発見し、エスカレートする前に遮断できます。

結論

企業やサイバー セキュリティの専門家がインフラストラクチャを保護するために最善を尽くしている一方で、ランサムウェアの攻撃者は仕事を退屈なものにするために努力を倍増させています。

ランサムウェア攻撃者が使用するその他の戦術には、2 重恐喝の他に、3 重恐喝や 4 重恐喝があります。サイバーセキュリティの専門家は、この問題に対処するために知識とスキルを更新する必要があります。

また、企業はセキュリティ インフラストラクチャに対して、より意図的かつ専念する必要があります。最近のセキュリティの傾向を取り入れて、組織に実装する必要があります。