Ransomware attacks need less than four days to encrypt systems
2022/06/01 BleepingComputer — 2021年におけるランサムウェア攻撃の持続時間は、イニシャル・ネットワーク・アクセスからペイロード展開までを計測した結果、平均で 92.5時間でとなった。2020年のランサムウェア・アクターたちは、攻撃を完了するまでに平均で 230時間を、また、2019年は 1637.6時間を費やしていた。この変化は、大規模オペレーションと高収益性を目指して、ランサムウェア運用者たちが時間をかけて進化させてきた、より合理的なアプローチを反映するものだ。
それと同時に、防御側におけるインシデント・レスポンスと改善により、脅威アクターたちは迅速に行動し、検知されるまでの時間を短縮する必要性に駆られている。
アクセス・ブローカーから暗号化まで
このデータは、IBM の X-Force チームの研究者たちが、2021年に分析したインシデントから収集したものだ。彼らは、イニシャル・アクセス・ブローカーとランサムウェア運営者の協力関係が、より緊密になったことにも気づいている。以前には、ネットワーク・アクセス・ブローカーが買い手を見つけるまでに、何日も、あるいは、何週間も待つことが多かったが、それが短縮されている。
また、ランサムウェア運営者の中には、マルウェア TrickBot の運用を引き継いだ Conti のように、最初の感染経路をダイレクトにコントロールする組織も出てきている。エンタープライズ・ネットワークに侵入したマルウェアにより、次に続く攻撃の段階が迅速に準備されるが、その中には、わずか数分で達成されるものもあるという。
ランサムウェア・アクターたちが使用するツールや手法については、対話型セッションとしての Cobalt Strike や、横方向への移動のための RDP、認証情報と窃取するための Mimikatz と LSASS dump、そして、ネットワーク・ホスト上にペイロードを展開するための SMB + WMIC と Psexec などが、一般的に使用されている。
ランサムウェア・アクターたちは、2019年にも同じツールを多用していたが、その頻度は多様である。
検知の高速化だけでは不十分だ
脅威を検知し対応していくシステムの性能は、2019年と 2021年の比較において向上しているが、これは十分ではなかったと研究者たちは述べている。この分野において、最も目覚ましい発展を遂げたのは、エンドポイント検出ソリューションである。2019年には、対象となる組織の 8% のみが、この種の機能を備えていたが、2021年には 36% にまで増加した。
IBM X-Force のデータによると、2019年には攻撃された組織の 42% が、セキュリティ・ツールが生成するアラートをタイムリーに受けていた。また、2021年には、ネットワーク侵入の 64% でアラートが配信された。
これらの数値により、検知能力が徐々に向上していることが示されるが、依然として脅威アクターに悪用される、大きなギャップが残っている。
今後の展望
防御力が向上したにもかかわらず、攻撃者は高度に標的化されたアプローチを採用し、手動によるハッキングも利用して被害者のネットワーク内を移動し、攻撃の最終段階であるシステム暗号化までを、目立たないように行動している。したがって、引き続き、ランサムウェアが深刻な脅威であることに変わりはない。
また、ランサムウェアの攻撃者は、より迅速に行動するようになったことが判明している。2022年4月には、IcedID マルウェアの感染から、わずか 3時間44分で Quantum ランサムウェアの展開にまで至った事例が紹介されている。また、最近は暗号化処理も高速化してきている。この暗号化が始まってしまうと、止めるのは非常に困難であり、かなりの被害が生じるケースが多いとされる。
イニシャル・ネットワーク・アクセスからペイロード展開までの時間が、2019年の 1637.6時間 → 2020年の 230時間 → 2021年の 92.5時間というふうに、劇的に短縮されていることに驚いてしまいます。また、イニシャル・アクセス・ブローカーやランサムウェア・ギャングを取り巻くエコシステムの深化により、攻撃開始までの労力も軽減されているのでしょう。IBM X-Force の Countdown to Ransomware: Analysis of Ransomware Attack Timelines をみれば、その辺りがより具体的に把握できます。ぜひ、ご参照ください。
IoT OT Security News 