ランサムウェアは、企業のセキュリティチームを悩ませ続けています。こうした高度な攻撃は、適応型かつ回避型の戦術を用いて、従来のセキュリティツールを迂回し、エンドポイントに侵入し、ネットワーク全体に拡散し、有害なペイロードを配信します。ブラウザを使用してインターネットにアクセスし、ウェブアプリやサービスとしてのソフトウェア (SaaS) プラットフォームに取り組む人が増えています。
今日のランサムウェア攻撃が成功している主な理由は、ブラウザーのセキュリティが不十分であることです。これらの攻撃を阻止するためには、企業のセキュリティチームは再びブラウザに注力し、ウェブベースのワークロードを可視化して制御する必要があります。
ランサムウェア攻撃の構造
今日のランサムウェア攻撃は、1 回のランサムウェアリクエストから、攻撃チェーン全体で被害者を複数回攻撃する、より広範囲で破壊的な攻撃へと進化しています。「二重強要」と呼ばれるこれらの戦術は、侵害を公表したり、一般市民やその他の利害関係者に機密データを公開したりしないことと引き換えに、被害者に法外な支払いを迫ります。
ステージ 1: 初期アクセス
すべてのランサムウェア攻撃は、最初にエンドポイントにアクセスしてマルウェアに感染させることから始まります。攻撃者はまず、目的の標的を偵察し、フィッシングの機会、盗まれた認証情報、パッチが適用されていないソフトウェアなど、悪用できる脆弱性を探します。その後、攻撃者はこれらの回避手法を使用してエンドポイントへの初期アクセスを取得します。
ステージ 2: 感染
最初のアクセスポイントが確立されると、攻撃者はさまざまなマルウェアやダウンロードツールを使用してデータを検索し、認証情報を盗み、ネットワーク全体の通信チャネルを監視します。目標は、ランサムウェアのミッションが成功する確率を高めるために、できるだけ多くのマシンに侵入することです。
ステージ 3: ステージング
その後、攻撃者はコマンドアンドコントロール(C&C)サーバーをセットアップして、標的のシステムに暗号化キーを送信できます。また、攻撃者は、ランサムウェア攻撃チェーンの他の段階を容易にするために将来使用できるマルウェアを追加インストールすることもできます。
ステージ 4: スキャンと暗号化
次に、攻撃者は組織のネットワークに関する有用な情報をスキャンし、感染を他のエンドポイントに横方向に拡散させます。目標は、アクセス権限を高めて、より価値のあるデータを探すことです。また、攻撃者は C&C サーバーにデータを流出させ、適切なタイミングで二重恐喝を仕掛けることもできます。その後、攻撃者は C&C サーバーから送信されたキーを使用してデータやシステムを暗号化できます。
ステージ 5: 身代金
これですべてがキーアップされたので、攻撃者は被害者に支払いを要求する身代金要求のメモを送ることができます。攻撃者はここで、どのようなシステムが侵害されたのか、どのようなデータが盗まれたのか、どのようなデータが盗まれたのか、どのような影響があるのかを明らかにします。
攻撃者は、被害者に恐怖を植え付け、急いで行動を強いることができるように、被害者にどれだけ危険にさらされているかを示したいと考えています。組織は、身代金を支払ってすぐに正常に戻るか、支払いを拒否してシステムをゼロから再構築するという長くて骨の折れるプロセスを開始するかを決定する必要があります。
ランサムウェアが成功した理由
過去 5 年間、デジタルトランスフォーメーションによって作業はデータセンターからブラウザに移されました。Forrester によると、ビジネスユーザーは仕事時間の 75% 以上をウェブブラウザ内で過ごしています。もちろん、悪意のある攻撃者はこのことを知っており、エンドポイントへの初期アクセスを行う方法として、特にブラウザを標的とする新しい攻撃を仕掛けています。ソーシャルエンジニアリングの手法を使用してブラウザベースのアプリケーションを標的にし、一般的に導入されているセキュリティソリューションを迂回するように設計された非常に回避性の高い手法を考案しました。
これらには以下が含まれます。
- パスワードで保護されたファイルの埋め込み コンテンツ検査エンジンをバイパスするマルウェアで
- クラウドサンドボックスの回避と セキュア Web ゲートウェイ (SWG) HTMLの密輸やドライブ・バイ・ダウンロード攻撃を通じて
- URL フィルターをバイパスしてユーザーの認証情報を盗む ゼロアワーフィッシング
- 迂回 多要素認証ツール ユーザーアカウントにアクセスし、重要な情報やシステムへの不正アクセスを可能にする
最近のランサムウェア攻撃
Menlo Labsは最近、「SocgHolish」と呼ばれる非常にアクティブな攻撃フレームワークの再登場を発見しました。これは、ソーシャルエンジニアリングツールと回避手法を使用して企業ネットワークにアクセスするランサムウェアの脅威です。フィッシング攻撃は通常、Chrome や Adobe などの一般的なソフトウェアアップデートを装い、ユーザーがリンクをクリックすると、マルウェアは信頼できる場所にホストされている ZIP ファイルを iFrame 経由でアップロードします。埋め込まれた Javascript ファイルが追加のマルウェアをダウンロードし、Dridex Banking トロイの木馬や Wasted Locker ランサムウェアの亜種を展開します。
別のランサムウェア攻撃(ラスベガスの2大カジノを狙った攻撃)が最近話題になりました。未知の脅威アクターがソーシャルエンジニアリングの手法を駆使し、Okta の認証情報が漏洩して重要なアプリケーションへの特権アクセスを獲得しました。カジノは、何千人ものユーザーに影響を与えた攻撃で数百万ドルの損失を被りました。
Menloセキュリティセキュアクラウドブラウザ
ランサムウェアを阻止する最善の方法は、エンドポイントへの初期アクセスを防ぐことです。そのためには、すべてのウェブセッションとアクティブコンテンツをクラウドの安全なウェブブラウザで実行する、より高度なブラウザセキュリティソリューションが必要です。このアクティビティをエンドポイントから切り離すことで、ランサムウェアや回避型マルウェアが最初のアクセスを得ることがなくなり、攻撃が役に立たなくなることがなくなります。
Menlo SecurityのSecure Cloud Browserは、セキュリティチームがWebブラウザを完全に保護するために必要な可視性と制御を提供し、最終的には攻撃対象領域を減らし、ランサムウェアを効果的に排除します。Menloは、回避型マルウェア、ゼロデイエクスプロイト、ランサムウェア攻撃を特定して動的に阻止できる唯一のソリューションです。
Menloセキュリティの詳細はこちら ここに。