Clever Geek Handbook

セキュリティウィーク20:ランサムウェアの神話

5月12日、Kaspersky Labの専門家 は、データの暗号化とその後の恐喝を伴う攻撃の進化に関する大規模なレポートを公開しました。この記事は主にこの犯罪ビジネスの組織に焦点を当て、大企業への攻撃を検証します。今年の明確な傾向の1つは、デジタル通貨で深刻な身代金を支払うことができる比較的大規模な組織である犯罪組織による「大物」の捜索でした。このレポートは、コロニアルパイプライン社への攻撃など、注目を集めるイベントを含む、企業への攻撃に関する毎日のニュースの真っ只中にあります。



このようなグループについて知っておくべき最も重要なことは、それらが複雑で自律的に機能しないことです。別のキャンペーンの主催者が見つかって逮捕されたとしても、この脅威を取り除くことはできません。生態系は、収入を失った場合、つまり影響を受けた人々が身代金の支払いをやめた場合にのみ機能を停止します。この調査は、新しい組織を採用する例を提供し、典型的な役割を特定します:クレデンシャルベンダー、マルウェア開発者、暗号通貨ロンダリングを担当するアナリスト。



この記事で反駁されている最も関連性の高い神話は、攻撃のターゲットが事前に選択されているという主張です。実際、それらはランダムに見つかります。ほとんどの場合、侵害されたコンピューターやサーバーへのアクセスを販売するボットネットやブローカーの所有者は、潜在的な被害者に関する情報を投稿し、目標は「可用性に基づいて」決定されます。ここには、ITセキュリティの専門家に対する重要な推奨事項があります。保護された境界への侵入またはマルウェア感染に関連する個々のインシデントをタイムリーに検出する必要があります。深刻な結果を回避するために、この最初の呼び出しと本格的な攻撃の間にタイムラグがある場合があります。



この調査では、2つの大規模なランサムウェアグループであるREvilとBabukの活動について詳しく説明しています。とりわけ、潜在的な被害者に対してより積極的な圧力がかかり、身代金をより早く支払うように動機付けられています。この目的のために、盗まれたデータの例を含むWebサイトがダークネット上に作成され、リークに関する情報がメディアに「リーク」されます。逆に、被害者のサポートは「顧客体験」を促進するために改善されています。たとえば、ランサムウェアと通信するために別のチャットが作成されます。「カスタム」ランサムウェアのトピックに関するKasperskyLabの専門家による以前の 出版物では、大規模な攻撃の数の減少が指摘されていました。新しいレポートは、サイバー犯罪者の注意がどこにシフトしたかを示し、犯罪活動が複雑で分岐したビジネスに変化したことを詳しく説明しています。



他に何が起こったのか



米国のコロニアルパイプラインの運営者に対する攻撃は、国の東海岸での石油製品の供給の一時的な中断をもたらし、ガソリンスタンドでパニックを引き起こし、サイバー犯罪と戦うための措置のさらなる変化につながる可能性があります。先週、この攻撃に関する多くの出版物がありましたが、すべての情報が確認されているわけではありません。最も興味深い記事は次のとおりです。



  • ブライアンクレブスからの攻撃の責任を主張するDarkSide派閥の分析彼は以前Twitterで、ロシア語を話すルーツを持つ悪意のある暗号化プログラムについての明らかな事実を冗談めかしてまたは真剣に指摘しました。それらはキリル文字のレイアウトのシステムを避けています。




Kaspersky Labのレポートでもローカリゼーションが指摘されていますが、別の文脈では、ロシア語を話す攻撃の主催者は、反撃や情報漏えいを恐れて、英語を話すパートナーと協力しないようにしています。言語能力テストの場合、1つの例は地元の民間伝承を使用することを提案します。



  • 以前の攻撃でDarkSideが使用したマルウェアの技術的特徴の分析


  • コロニアルパイプラインが強奪者に500万ドルを支払ったという公式に未確認の情報攻撃の主催者は、インフラストラクチャと暗号ウォレットへのアクセスを失った主張しています。
  • おそらくDarkSideに属するビットコインウォレットの資金動きの分析


この事件に加えて、「IB-life」は相変わらず続いています。大きなイベントは、デバイスの脆弱性とWi-Fiプロトコル自体の調査でした。攻撃のコレクションFragattacks( プロジェクトサイトHabréに関するディスカッション)は、暗号化のタイプ(WPA3まで)に依存しない脆弱性を悪用し、データを盗んだり、ユーザーを悪意のあるリソースにリダイレクトしたりするために使用できます。



スウェーデンの研究者ポントスジョンソンは、1967年に提案された万能チューリング機械の概念に脆弱性を発見しました 記事The Register、研究 論文)。この純粋に理論的な演習では、任意のコードを実行する方法が見つかりました。理由:入力検証の欠如。 iOSおよびMacOSに基づくデバイスから任意のデータ転送し、情報を受信



する方法提案されてい ます。Bluetoothプロトコルの脆弱性とFindMyテクノロジーの機能は、紛失したデバイスを見つけるために使用されます。



MSI は、人気のあるAfterburnerオーバークロックユーティリティを装ってマルウェアを配布する偽のサイトについて警告します。


More articles:


All Articles