ランサムウェア攻撃を受けた組織は、しばしば攻撃者と直接交渉しなければならないという困難な立場に置かれます。これは、機密ファイルが暗号化され盗まれたこと、攻撃者が侵害されたファイルをどのように利用しようとしているのかを把握し、身代金の支払い方法と時期を指示されることを意味します。しかし、多くの場合、被害者は攻撃者と交渉し、身代金の額を減額することができます。
ネットワーク企業シスコのサイバーセキュリティ研究部門であるシスコ・タロスが火曜日に発表した報告書は、ランサムウェア集団がどのように被害者を狙い、交渉を行い、可能な限り迅速かつ容易に身代金を受け取るかを検証している。「キーボードの裏側:被害者とのチャットを通してContiとHiveランサムウェアの活動を理解する」と題されたこの報告書は、ランサムウェアサイバー犯罪集団のメンバーによる内部チャットを用いて、彼らの戦術を解説し、組織がランサムウェアに対抗するためのアドバイスを提供している。
参照:パスワード侵害:ポップカルチャーとパスワードが混ざらない理由(無料PDF)(TechRepublic)
Talosは報告書をまとめるにあたり、ContiおよびHiveグループのメンバーと被害者との間で交わされた40件の会話を含む4ヶ月以上に及ぶチャットログを入手しました。これらのチャットログは、攻撃者が報奨金獲得のために用いるコミュニケーション手法、説得戦略、交渉手順、その他のテクニックに関する洞察を提供します。
Contiグループは、被害者に身代金を支払わせるために、体系的でほぼ台本通りのアプローチを使います。巧みなマーケティング手法を用いて、グループのメンバーは身代金の支払いに休日割引を提供したり、将来の攻撃を防ぐためのITサポートを約束したり、データを公開すると脅したりします。
Hiveグループは、Contiのような説得的な戦術を用いず、より緩やかで直接的なアプローチをとっています。Hiveの関連組織は標準的な計画に頼らず、被害者に行動を強制するために様々な方法を駆使します。例えば、身代金の支払いを仲介する交渉者にキックバックを提供するなどです。このグループは内部セキュリティに欠けており、暗号化手法やその他のプロセスの詳細を頻繁に公開しています。
HiveとContiはどちらも、事前に被害者を調査します。両グループは通常、企業の年間売上高の約1%の身代金を要求し、組織がどれだけ迅速かつ容易に支払いを行えるかに基づいて標的を定めます。両グループとも、交渉中に大幅な割引を提示することで、身代金要求額を引き下げます。
サイバー犯罪者からビジネスを守る方法
社内チャットに基づいて、Cisco Talos は組織がランサムウェア攻撃を防止または対処するのに役立つヒントをいくつか提供しています。
パッチ適用を怠らないでください。Cisco Talosは、ContiとHiveのメンバーを「機会主義的なアクター」と呼び、これらの犯罪者は通常、既知のセキュリティ脆弱性を悪用するなど、最も簡単かつ迅速な方法で被害者を侵害する傾向があると述べています。そのため、すべての組織は、強力なパッチ管理ポリシーを導入し、すべてのハードウェア、ソフトウェア、システムを最新の状態に保つ必要があります。
不審なネットワークトラフィックに注意しましょう。攻撃者による機密データの侵害を防ぐ方法の一つは、ネットワーク上で異常なアクティビティをスキャンすることです。このようなアクティビティは、多くの場合、犯罪者がパッチ未適用または保護されていないソフトウェアを探している悪意のあるスキャンの兆候です。この種のスキャンでは通常、ソフトウェアとそのバージョン番号、リスニングポート、その他のネットワークリソースが収集され、攻撃者が悪用できる脆弱性を見つけるのに役立ちます。
システムの強化。不要になったエンドポイントサービスやプロトコルを削除します。不要なポートやサービスが完全に閉じられていることを確認し、発見や悪用を防止します。さらに、攻撃を防ぐために、システム、ネットワーク、セキュリティデバイスの強化を検討してください。具体的には、アプリケーションを許可リストとブロックリストに追加し、アクセス可能なプログラムを制御します。
盗まれた認証情報を攻撃者が利用できないようにする。サイバー犯罪者は、データ侵害で漏洩したアカウント認証情報やダークネットで販売されたアカウント認証情報を悪用することがよくあります。これらの認証情報が実際の攻撃に利用されるのを防ぐには、すべての従業員に対し、重要なシステムやリソースにアクセスする際は多要素認証(MFA)の使用を義務付けましょう。少なくとも、管理者権限を持つすべてのユーザーとリモートアクセスを使用するユーザーには、MFAの使用を義務付けましょう。VPNなどの重要なサービスでMFAを必須にすることで、多くのランサムウェアインシデントを未然に防ぐことができます。
パスワードをリセットしてください。アカウントが侵害されたり、不正利用されたりした場合は、すべてのアカウントのパスワードを完全にリセットしてください。少なくとも、すべての特権ドメインアカウントのパスワードをリセットしてください。
