ランサムウェア攻撃はどのように企業や産業を混乱させますか?
公開: 2019-03-253月19日火曜日、世界最大のアルミニウム生産者の1つであるNorsk Hydroは、ランサムウェア攻撃と戦います。
アルミニウムインゴットを歯車に変えた米国を拠点とする工場、金属押出成形品、その他の圧延製品工場、建設業者向けの機械、自動車メーカー、その他の産業は閉鎖しなければなりませんでした。 会社が適切なバックアップ計画を立てていたため、状況は現在制御されています。 さらに、同社はノルウェーの特大製錬所の操業を手動に切り替えました。
Facebookに投稿された声明の中で、同社は次のように述べています。
<blockquote class =” twitter-tweet” data-lang =” en”> <p lang =” en” dir =” ltr”>彼らは株式市場に手動操作を行ったことを通知しました。 誰もが取引が何であるか知っていますか?</ p>&mdash; Kevin Beaumont ?? ️(@GossiTheDog)<a href=”https://twitter.com/GossiTheDog/status/1107928639612555265?ref_src=twsrc%5Etfw”> 2019年3月19日</a> </ blockquote>
<script async src =” https://platform.twitter.com/widgets.js” charset =” utf-8”> </ script>
ランサムウェアが会社のシステムにどのように侵入するか、どのように機能するか、何と呼ばれるか、安全を維持するために何をすべきかなど、この攻撃を燃やす質問が立ち上がっています。
その答えを見つけるのは難しいことではありません。
さらに読むと、ランサムウェア、システムをどのように悪用するかなどに関する情報が得られます。
まず最初に、ノルウェー国家安全保障局(NNSA)によると、攻撃者はLockerGogaと呼ばれるランサムウェアを使用しました。
ランサムウェアをエンドポイントに配信するために、会社独自のActiveDirectoryサービスがそれに対して使用されました。
このランサムウェアが登場したのはこれが初めてではありません。 LockerGogaは、1月にフランスのエンジニアリング会社AltranTechnologiesから金銭を攻撃して強要するために使用されました。
「LockerGogaは、限定された標的型攻撃でのみ使用されます。 「スプレッダー」はなく、WannaCryやNotPetyaとは異なります。 すでに管理者アクセス権を持っている攻撃者が配備する必要があります」とBeaumont氏はTwitterで述べています。
攻撃者はどのようにして管理サイトにアクセスできましたか?
最近、管理サイトにアクセスすることは大したことではありません。 ハッカーは最も一般的なアプローチを使用します。つまり、サイバー犯罪市場からブルートフォースリモートデスクトッププロトコルの資格情報を取得します。 これらのクレデンシャルの助けを借りて、彼らは組織のネットワークに簡単に侵入し、それを調査し、システムをレイドして機密データを入手してから、ランサムウェアを現金化に使用します。
LockerGogaとは何ですか?どのように機能しますか?
LockerGogaは、コンピューターファイルを暗号化し、それらを復号化するために身代金を要求する、かなり新しい種類のランサムウェアです。 このランサムウェアはDLLファイルを暗号化し、手動でインストールされます。 その背後にいる攻撃者は、主にActiveDirectoryを使用してランサムウェアを拡散します。
Norsk Hydroの場合、LockerGogaを広めるためにフィッシングキャンペーンが使用されたことが疑われます。 さらに、執筆時点では、LockerGogaで使用できる復号化ツールはありません。 ランサムウェアに対する最善の防御策は、注意、フィッシング攻撃に対する遵守、および更新されたウイルス対策やその他のエンドポイント保護の実行です。
LockerGogaはどのように機能しますか?
LockerGogaの背後にいる攻撃者は、従来のアプローチを使用します。つまり、マルウェアはターゲット拡張子を持つファイルを暗号化し、Ryuk、SamSamの場合のように身代金メモを残します。
インストールすると、パスワードを変更してユーザーアカウントを変更し、ログインしているユーザーからログオフして、一時フォルダーに自分自身を再配置し、コマンドラインから自分自身の名前を変更しようとします。 さらに、LockerGogaは、被害者のごみ箱ディレクトリの内容も暗号化します。 このマルウェアのもう1つの興味深い特徴は、各ファイルを個別に暗号化し、レジストリキーが変更された後に各ファイルが暗号化されることです:( HKEY_CURRENT_USER \ SOFTWARE \ Microsoft \ RestartManager \ Session00 {01-20}。
通常、ランサムウェアはオーバーヘッドが発生するためこれを行いません。これは無能なアプローチです。
さらに、C&C、DNSビーコンなどはマルウェアコードに追加されていないため、LockerGogaの意図はスパイではなく混乱であると想定されています。
ファイルを暗号化した後、LockerGogaは次の身代金メモを.txtファイルに残します。
これに加えて、LockerGogaのもう1つの興味深い点は、身代金メモにビットコインまたはモネロウォレットのウォレットアドレスが含まれていないことです。 マルウェアの配布者に連絡するための2つの電子メールアドレスが含まれているだけです。 さらに、身代金を受け取る可能性を高めるために、攻撃者は少数の暗号化されたファイルを無料で復号化することを提案します。
LockerGogaに感染しているかどうかを知る方法は?
ターゲットファイルは暗号化され、ファイル名の末尾に「.locked」ファイル拡張子が追加されるため、感染していることを識別できます。
これらのタイプの攻撃から何を学びますか?
何よりもまず、これらのトラブルを起こす攻撃は特定のセグメントを標的にしません。 個人、企業
また、身代金を支払うことは解決策ではありません。なぜなら、その見返りは攻撃者がより高度なマルウェアを設計するのに役立つだけだからです。 また、彼らが支払われることを知っているので、犯罪者は攻撃するように促されます。
壊滅的なランサムウェア攻撃の例:
NotPetyaの攻撃により、サプライチェーン企業に100億ドルの損害が発生しました
LockerGogaに対して安全を保つ方法
これらの特定の慣行に従うことで、LockerGogaのようなランサムウェアから安全を保つことができます。
- ファイルの定期的なバックアップを取り、バックアップが機能していることを確認します
- システム、セキュリティアプリケーション、およびその他のソフトウェアを常に最新の状態に保ちます。 さらに、パッチが適用されていないシステムにパッチを適用します
- データの分類とネットワークのセグメンテーションを実装して、機密データの公開を最小限に抑えます。
- サードパーティのコンポーネントはエントリポイントとして使用できるため、無効にします。
- システムでの招かれざる変更を避け、動作監視やアプリケーション制御などのセキュリティの追加レイヤーを実装します
- 職場でセキュリティを実装するように従業員を教育します。 さらに、フィッシングや詐欺メールを特定する方法を知ってもらいます
要約:
データは、個人、組織、攻撃者にとって貴重なリソースです。 それが画像であろうと企業文書であろうと、すべてが価値があります。 したがって、それを保護する必要があります。 サイバー犯罪者はそれを盗んでお金を稼ぐためにそれを監視しています。 私たちの側からの1つのばかげた間違いは、深刻な損害につながる可能性があります。
過去数年間でランサムウェア攻撃の頻度が増加しており、利益を生み出すためだけでなく、ネットワークの運用を妨害したり、トラックを隠したりするためにも使用されています。 LockerGogaは新しい株であるため、洗練されていない可能性がありますが、組織や個人に対してランサムウェアを利用した場合に、ランサムウェアがどのように損害を与える可能性があるかを示すもう1つの例です。 したがって、注意して安全を確保してください。 ランサムウェア攻撃から身を守るために、常に重要なデータのバックアップを取り、システムを最新の状態に保ちます。
この記事が気に入っていただければ幸いです。また、最新のセキュリティニュースをお見逃しなく。 TweakLibraryに登録するには、ベルアイコンを押すと、通知を受け取り、引き続きご注目いただけます。 以下のセクションにコメントを残してください。