EnterpriseZine(エンタープライズジン)

EnterpriseZine(エンタープライズジン)

テーマ別に探す

ソフォス、ランサムウェア攻撃者の身代金要求手段の上位10通りを公開

  2021/11/16 16:00

 ソフォスは、「ランサムウェア攻撃者が身代金を支払うよう圧力を強める上位10通りの方法(The Top 10 Ways Ransomware Operators Ramp Up the Pressure to Payの翻訳)」と題する記事を公開した。

 本記事では、ランサムウェア攻撃者が被害者に、身代金を支払うよう誘導するために圧力をかけている状況を説明。なお、サイバー攻撃をリアルタイムに受けている組織を24時間態勢で支援する同社のインシデント対応チーム「Rapid Response」が実務で得た知見を元に作成されているという。以下が、2021年に最もよく使用された脅迫手段の上位10件だとしている。

1.盗んだデータをオンラインで公開したりオークションで売却したりすると脅迫

 攻撃者は、盗み出したデータをリークサイトで公開し、競合他社、顧客、パートナー、メディアなどが閲覧できるようにしているほか、攻撃者がダークウェブやサイバー犯罪者同士のネットワーク上でデータをオークションにかけることもあるという。

2.上級管理職を含む従業員にメールや電話で個人情報を開示すると脅迫

 REvil、Conti、Maze、SunCryptなどのランサムウェアファミリはこの脅迫手段を用いているとしている。たとえば、REvilにおけるランサムウェアのオペレーターは、メディアや被害者のビジネスパートナーと連絡を取って攻撃の詳細を通知し、被害者に身代金の支払いを促すよう依頼しているという。

3.ビジネスパートナー、顧客、メディアなどにデータ侵害の通知や脅迫を実行

 攻撃者が盗んだファイル内に存在する連絡先の個人や組織に電子メールやメッセージを送り、プライバシーを守るため被害者に身代金の支払いを促すように仕向けるとされている。

4.被害者に口止めをする

 最近のランサムウェアの中には、被害者が法執行機関に連絡したり、身代金交渉の詳細を公開したりすることを禁止するメッセージで被害者を脅迫するものがあるとしている。これには、被害者が身代金の支払いを回避するためのサポートを、第三者から受けられないようにする狙いがあると考えられるという。また、ランサムウェアの攻撃者が、特に法執行機関の注目を集めるのを嫌がっていることも示唆するとしている。

5.内部協力者の雇い入れ

 内部の人間を募ってランサムウェア攻撃を手助けさせ、その見返りとして収益の一部を譲渡するという手法だという。

6.パスワードをリセット

 ネットワークに侵入した後に新しいドメイン管理者アカウントを作成し、他の管理者アカウントのパスワードをリセット。これにより、IT管理者はシステムを修復するためにネットワークにログインすることができなくなり、バックアップからデータの復元を試す前に、新しいドメインを設定しなければならなくなるとしている。

7.被害者の電子メールアドレスを標的にしたフィッシング攻撃

 Lorenz ランサムウェアに関するある事例では、攻撃者は被害者の従業員にフィッシング攻撃を仕掛け、たとえパスワードをリセットしたとしても、攻撃者が従業員の電子メールに完全にアクセスできるようにするアプリケーションをインストールするよう仕向けたとされている。その後、不正に入手した電子メールアカウントを使用して標的組織のIT担当、法務、サイバー保険チームにメッセージを送り、支払いをしなければさらなる攻撃を行うと脅迫したという。

8.オンラインバックアップとシャドーコピーを削除

 被害者のネットワークを偵察する際、多くのランサムウェアのオペレーターは、組織内ネットワークやインターネットに接続されているバックアップを探し、暗号化後にファイルの復元に用いられることを防ぐために削除するとしている。また、バックアップそのものの削除に加え、バックアップソフトウェアのアンインストールや、復元ポイントのリセットなどが行われる場合もあるという。

9.POS端末を含むすべての接続されたデバイスからランサムノート(身代金要求文書)を印刷

 印刷されたランサムノートが大量に送られてくる手法。EgregorやLockBitなどのランサムウェアは、この脅迫手段を用いている。

10.標的のWebサイトに対する分散型サービス拒否(DDoS)攻撃

 いくつかのランサムウェアは、身代金の支払い交渉が行き詰まった際にDDoS攻撃を行い、交渉の再開を図ろうとするという。また、攻撃者は主たるランサムウェアの攻撃活動を、ネットワーク上の別の場所で行っている間にセキュリティのリソースを他に使わせるため、あるいは単独の脅しとして、DDoS攻撃を利用するとしている。

【関連記事】
フィッシング攻撃の定義について共通理解が得られず――ソフォス調査
ソフォス、過去20年間のサイバー攻撃を振り返る調査レポートを公開
ソフォス、Refactr買収でサイバーセキュリティプラットフォーム自動化を加速

関連リンク

著者プロフィール

  • EnterpriseZine編集部(エンタープライズジン ヘンシュウブ)

    「EnterpriseZine」(エンタープライズジン)は、翔泳社が運営する企業のIT活用とビジネス成長を支援するITリーダー向け専門メディアです。データテクノロジー/情報セキュリティの最新動向を中心に、企業ITに関する多様な情報をお届けしています。


All contents copyright © 2007-2022 Shoeisha Co., Ltd. All rights reserved. ver.1.5