ランサムウェアを検出する方法: 感染の兆候を理解する

チュートリアル

ransomware(ランサムウェア)がますます洗練されるにつれて、組織はデータ損失や侵害の恒久的な脅威にさらされています。Statistaによると、2018年以来、組織がランサムウェア攻撃を経験した数は増加し、ピークは2021年であり、企業の68.5%がそれに達しました。さらに、2020年に検出されたランサムウェアファミリーの数は2019年の34%増加し(2020年に127ファミリー)、

このブログ投稿では、ランサムウェアを定義し、主な感染経路とランサムウェアの検出技術に光を当てます。また、ランサムウェアを特定し、さらなる感染を防止し、データのランサムウェアに対する耐久性を向上させるための解決策を検討します。

ランサムウェアとは何ですか?

ランサムウェアは、個人/企業のIT環境に侵入し、データを暗号化またはロックアウトするために使用される悪意のあるソフトウェアです。ランサムウェア攻撃の目的は、被害者から身代金を要求し、暗号化/ロックアウトされたデータへのアクセスを復元することです。

システムがランサムウェアで感染する方法:5つの感染ベクトル

組織のITシステムがランサムウェアで感染しないようにするためには、マルウェアが広がる最も一般的な方法を把握しておく必要があります。これにより、どのシステムコンポーネントがランサムウェア攻撃によってより露出し、脆弱性があるか、およびインフラストラクチャ内でランサムウェアの活動を迅速に検出する方法を学ぶことができます。

あなたの組織がランサムウェアの被害者になる方法は数え切れません。ただし、最も一般的なマルウェア感染経路は次のとおりです:

  • 疑わしい電子メールメッセージが受信者にリンクをクリックするか、マルウェアを含む添付ファイルをダウンロードするよう促す。
  • 悪意のあるウェブサイトは、人々がそのページを閲覧し、最終的には悪意のあるハイパーリンクをクリックすることでランサムウェアに感染するように仕組まれています。
  • ソーシャルメディアはしばしば信頼できる正当なプラットフォームと見なされるため、個人はすぐに信頼します。一般的に、マルウェアはソーシャルメディアプラットフォーム上の悪意のあるアプリ、広告、プラグイン、リンクを介して広まります。これらのアプリ、広告、リンク、およびブラウザの添付ファイルは、ユーザーにランサムウェアや暗号マイニングエージェントなどの悪意のあるコンテンツをダウンロードするよう説得します。
  • マルウェア広告は、悪意のあるコードを含むオンライン広告の形態です。正当なウェブサイト上のリンクをクリックすると、コンピュータが自動的にマルウェアに感染することがあります。
  • モバイルランサムウェアは、悪意のあるコードが注入されたモバイルアプリを介して実行されます。このようなアプリをダウンロードすることで、数秒で携帯電話にマルウェアが感染し、次にその2台のデバイスを接続した際にコンピュータに感染が広がります。

ランサムウェアの検出技術

ランサムウェアが侵入しようとしているか既にIT環境を乱していることを検出するには、悪意のあるファイルや不審な活動を明らかにするのに役立つツールと技術のセットを使用できます。IT専門家は、次のような検出技術のタイプを区別しています:

  • Signature-based
  • Behavior-based
  • Deception

以下では、各ランサムウェア検出技術を詳しく見ていきます。

署名ベースの検出

署名ベースの方法は、以前に見つかった署名とランサムウェアの品種のサンプルハッシュを比較します。これは、ウイルス対策ソリューションやセキュリティプラットフォームにおける一般的な最初の手法です。これらは、実行可能ファイルに詰め込まれたデータ断片を起動する前にチェックします。この技術は、早期にランサムウェアのようなコード断片を検出し、感染したコードの実行をブロックすることを含みます。

この方法は、組織の基本的な防御を構築するために使用されます。しかし、既知のランサムウェアの品種を効果的に検出しても、署名ベースの方法は新しいマルウェアでは失敗する可能性があります。さらに、ハッカーはマルウェアとセキュリティ中和ツールを更新するために多くの労力を投資しており、署名の検出がより難しくなっています。

現在競争している複数のマルウェア検出ソフトウェアベンダーがあります。それぞれが、ある程度有効なランサムウェア検出ツールの特集を提供しています。しかし、Sophosの報告によると、2021年におけるランサムウェア攻撃の50%以上が成功しました。つまり、どのマルウェア検出システムもランサムウェアを100%保証しては検出できないということです。

行動ベースの検出

行動ベースの ランサムウェア検出方法は、歴史的に知られている行動を新しいものと比較します。専門家や自動ツールは、ユーザーやアプリケーションの活動を監視し、ファイルシステム、トラフィック、未知のプロセス、APIコールなどの異常な変化をキャッチするために環境内で行われます。

ランサムウェア攻撃の試みやシステムへの感染の成功の一般的な行動の兆候をチェックして覚えておく:

  • スパムやフィッシングメール: フィッシングはハッカーがランサムウェアを提供するために使用する最も一般的な手法です。
  • パフォーマンスの低下: ITインフラストラクチャのノードが予想よりも遅く動作している場合は、潜在的なランサムウェアの侵入に対応するようにしてください。
  • 継続的な怪しいログインアクティビティ: 失敗したログイン試行が定期的に発生し、異常な場所やデバイスから様々なアカウントに対して行われる場合、誰かが組織のITシステムに不正アクセスを試みている可能性が非常に高いです。
  • 不正なネットワークスキャナーの検出: ネットワークスキャン手順を誰が開始したのか、そして何の目的で行われたのかがわからない場合は、悪意のある活動である可能性があるため、調査する必要があります。
  • 潜在的なテスト攻撃: ハッカーは、完全なスケールの攻撃を開始する前に、いくつかのノードに軽微な攻撃を開始して、組織の保護システムの回復力や反応時間をチェックすることができます。
  • セキュリティソフトウェアの無効化または削除:保護システムの妨害は、短期間の機能不全でもランサムウェア感染の開いた侵入口を意味する可能性があるため無視すべきではありません。
  • 一部のノード上のデータ暗号化:システム内の任意のノードでのデータ暗号化の成功は、ハッカーがより深刻な攻撃に使用できるIT保護の侵害を示します。
  • 既知のハッキングツールの検出:組織の環境でMicrosoft Process Explorer、MimiKatz、IOBit Uninstaller、PC Hunterなどのアプリを見つけた場合は、すべてのノードに対して完全なセキュリティレビューを実行する必要があります。
  • アクティブディレクトリ周りの異常なアクティビティ:保護されたADサーバーにリーチするためにリモートデスクトッププロトコル(RDP)を使用し、RyukランサムウェアをADログインスクリプトに直接注入するハッカーの既知の事例があります。
  • バックアップの破損試行:バックアップストレージプラットフォームは、サイバー攻撃の優先ターゲットの1つです。物理ディスク上またはクラウド上のバックアップストレージ周りの不審なアクティビティは、潜在的なランサムウェア攻撃の兆候である可能性があります。

デセプションベースの検出

ハッカーは定期的に組織のデジタル脅威検出システムを欺くように、ITセキュリティ専門家も悪意のある行為者をおびき寄せる方法を考案してきました。最も一般的な誘餌の一つは、ハニーポットとして知られています。これは、ハッカーにとって価値のあるデータを含む組織のIT環境内のサーバーまたはエリアです。ただし、この環境はサイトから完全に切り離されており、攻撃の手法を監視および分析するために使用できます。

進化する脅威により、企業は侵害とデータの損失を防ぐために利用可能なすべてのセキュリティオプションを使用する必要があります。そのため、ランサムウェアの検出方法を組み合わせることは一般的な慣行です。さらに、ランサムウェア攻撃を検出し、積極的に対処するための良い戦略は、攻撃者の手法を理解し、浸入を防ぐことです。以下に、攻撃を特定し、予防するためのいくつかの推奨事項を示します。

攻撃を特定し、予防する方法

以下の実践を採用することをお勧めします。また、ランサムウェアが組織の環境に浸透した場合のデータ損失リスクを低減するためのヒントも追加しました。

  • 従業員に以下を奨励する:
    • ランサムウェアやその他のマルウェアの一般的な兆候を学ぶ
    • 強力なパスワードを使用し、定期的に更新する
    • リンクやファイルの添付をクリックする前に確認する
    • フィッシングの仕組みを理解し、受信メッセージのメールアドレスを確認する
  • 定期的にシステムを更新してください

オペレーティングシステムと重要なアプリケーションを修正および最新の状態に保ち、リリースされたらすぐにアップデートをインストールしてください。システムのアップデートとセキュリティパッチは、一般的には過去のリリースの問題を修正し、システムの既知の脆弱性をカバーするために意図されています。

  • サードパーティソフトウェアを確認してください

サードパーティソフトウェアをインストールする前に、ソフトウェアベンダーが本物で信頼できるかどうかを確認してください。この目的のために、ホワイトリスティングソフトウェア(例えば、Bit9、Velox、McAfee、Lumension)をインストールすることができ、新しいアプリケーションがあなたのシステムでインストールおよび実行するのに十分安全であるかどうかを識別することができます。

  • インフラストラクチャを定期的にスキャンしてください

あなたにどのような潜在的な脅威について通知し、潜在的な脆弱性を特定し、インフラストラクチャ内のランサムウェアの活動を検出することができるアンチマルウェアソフトウェアをインストールして使用してください。現代のアンチランサムウェアツールは、既存のウイルスやアクティブなマルウェアの脅威のためにあなたのシステム全体をスキャンすることを可能にします。さらに、このようなコンピュータのスキャンは、需要に応じて実行するか、設定したスケジュールに基づいて実行することができ、あなたの管理入力を最小限に抑えることができます。

  • ハニーポットを作成してください

A honeypot is one of the most effective security measures that can be used to confuse cybercriminals and take their attention away from critical files. By setting up a honeypot, you create a fake file repository or a server that looks like a legitimate target to an outsider and appears especially enticing to ransomware attackers. This way, you can not only protect your files and rapidly detect a ransomware attack, but also learn how cybercriminals operate. Then, use that data and experience to improve the protection of your system against future cyberattacks.

  • 重要なシステムおよびアプリケーションへのアクセスを制限してください

従業員にシステムへの権限を付与する際には、最小特権の原則を適用してください。この原則は、従業員が効率的に仕事をするために必要なファイルとシステムリソースのみにアクセスを許可することを含みます。従業員が職務を遂行するために必要のない行動やアクセスは管理者によって禁止されるべきです。これにより、偶発的な感染を回避できます。

  • データ保護とバックアップのテスト

データバックアップを作成し、定期的に更新してください。暗号化されたデータのランサムウェアリカバリーを成功させるためには、3-2-1 ルールを使用して保護を強化し、必要なバックアップを確保してください。このルールでは、データのコピーを3つ作成し、2つの異なるメディアに保存し、そのうち1つをオフサイトに保存する必要があります。データがバックアップされた後、バックアップが機能し、回復可能であることを検証するテストを実行してください。これにより、システムのリカバリー中に起こりうる障害を防ぐことができます。

NAKIVOがどのようにランサムウェアからデータを保護できるか

今日、組織のデータを利用できなくするランサムウェア攻撃は、単なる可能性ではなく、時間の問題です。ランサムウェア攻撃による生産停止後のデータ損失事件を防ぎ、生産ダウンタイムを回避する最も効果的な方法は、回復のための有効なバックアップを準備しておくことです。

93%の企業がバックアップと災害復旧計画を実施していない場合、全球的なデータロス災害後1年以内に事業を停止します。一方、信頼性のあるバックアップと復旧戦略を持つ企業の96%は、ランサムウェア攻撃から成功裏に復旧することができました。

NAKIVO Backup&Replicationは、信頼性のあるランサムウェア防御戦略を実装し、組織の攻撃への耐性を向上させるために使用できるデータ保護ソリューションです:

  1. データの信頼性と一貫性のあるバックアップを作成します。
  2. バックアップをオンサイトに保存するか、オフサイトまたはクラウドに送信して3-2-1のルールに従い、単一の障害点を避けます。
  3. ローカルのLinuxベースのリポジトリおよび/またはクラウドに保存されたバックアップの不変性を有効にし、ランサムウェアがバックアップインフラストラクチャに影響を及ぼしてもバックアップデータが変更されず利用可能であることを確保します。
  4. バックアップデータの転送中および保存中の暗号化を有効にします。このソリューションは、AES-256暗号化標準を使用して、第三者がバックアップデータにアクセスするのを防ぎます。
  5. 役割に基づくアクセス制御(RBAC)を使用して、従業員のアクセス権を設定し、バックアップの安全性を向上させます。ランサムウェア攻撃が発生し、元のデータが暗号化された場合は、バックアップを復旧に使用します。すぐに完全なVMと物理マシンをVMとして復旧できます。瞬時のグラニュラリカバリーを使用して、個々のファイルやアプリケーションオブジェクトを元の場所やカスタムの場所に復元し、ダウンタイムをさらに短縮します。
  6. ランサムウェア攻撃が発生し、元のデータが暗号化された場合、バックアップを使用して回復を行います。完全なVMや物理マシンをVMとしてすぐに回復できます。インスタント粒子回復を使用して、個々のファイルやアプリケーションオブジェクトを元のまたはカスタムの場所に回復し、さらに短時間のダウンタイムを実現します。
  7. システムやアプリケーションの迅速な可用性のために、レプリケーション、自動フェイルオーバー、および災害復旧オーケストレーションを使用します。

NAKIVOのソリューションを使用することで、単一のガラスウィンドウからバックアップと回復プロセスを制御および自動化できます。データ損失を最小限に抑えるために、1分ごとにバックアップを実行できます。関連する不変のバックアップを利用すれば、ランサムウェアがセキュリティシステムを回避し、元のデータを暗号化した後でも、ハッカーにランサムを支払う必要がなくなります。

Source:
https://www.nakivo.com/blog/methods-tools-ransomware-detection/