ランサムウェアの脅威はここ数年で増加しており、それらのほとんどは広い攻撃対象領域を標的とし、日和見主義的なスキームを持っていますが、Microsoftは人間主導のランサムウェア(略してこれを「HOR」と呼びます)について警告を発しました。将来)。)これは、サービスとしてのランサムウェア(RaaS)ギグエコノミーで支配的になりつつあります。
HORは、人間が手動で発見したシステムの特定の弱点を標的にするという点で、従来のランサムウェアとは異なります。例として、ご使用の環境で昇格されたサービスを使用する場合があります。Microsoftによると、HORは攻撃のすべての段階で人間の関与を伴い、システムの欠陥や人為的エラーを悪用して特権を高め、より機密性の高いデータにアクセスし、最終的にはより多くの支払いを得ることができます。HORをさらに危険なものにしているのは、攻撃者は通常、支払いを行った後でもネットワークを離れないことです。彼らは、完全にクリーンアップされるまで、新しいマルウェアを展開することでアクセスを収益化しようとし続けます。
Microsoftは最近、RaaSが二重恐喝モデルに引き寄せられ始めていることを強調しました。このモデルでは、データが暗号化されるだけでなく、攻撃者はあなたが支払うまでデータを公開すると脅迫します。同社はまた、HORキャンペーンは通常、従来の構成と誤った構成、および不十分な資格情報の衛生状態を利用して、特権を高めることにも言及しました。したがって、組織のセキュリティ専門家は、個々のアラートを探すだけでなく、セキュリティ体制全体とインシデントの全体像を把握できるゼロトラストモデルに移行する必要があります。
マイクロソフトはまた、以下に説明するRaaSパートナーモデルについて組織に警告しています。
過去に、単一のランサムウェア株の各キャンペーンで、初期侵入ベクトル、ツール、およびランサムウェアペイロードの選択の間に密接な関係があることを確認しました。技術的な専門知識に関係なく、より多くの犯罪者が他の誰かによって作成または管理されたランサムウェアを展開できるようにするRaaSパートナーモデルは、このリンクを弱めます。ランサムウェアの展開が経済的になるにつれて、特定の攻撃で使用されたスキルをランサムウェアのペイロード開発者に帰することがますます困難になります。
[…]RaaSは、オペレーターとアフィリエイトの間の契約です。RaaSオペレーターは、ランサムウェアペイロードを生成するリンカーや、被害者と接続するための支払いポータルなど、ランサムウェア操作をサポートするツールを開発および保守しています。
[…]このようにして、RaaSは単一の種類のペイロードまたはキャンペーンを作成します。これは、ランサムウェアの単一のファミリーまたは一連の攻撃者です。ただし、RaaSオペレーターは、ランサムウェアペイロードと復号化機能へのアクセスを、侵入と特権の昇格を実行し、実際のランサムウェアペイロードの展開を担当するアフィリエイトに販売します。その後、当事者は利益を共有します。さらに、開発者とRaaSオペレーターは、ペイロードを利益のために使用し、販売し、他のランサムウェアペイロードでキャンペーンを実行することもできます。これにより、これらの活動の背後にある犯罪者を追跡する場合、状況がさらに混乱します。
これらの増大する高度な脅威に対抗するために、マイクロソフトは、組織がゼロトラストモデルに移行し、クレデンシャルの衛生状態を作成し、クレデンシャルの公開を監査し、クラウドで強化し、Active Directory更新プログラムの展開を優先し、攻撃対象領域を減らし、セキュリティの死角を軽減することをお勧めします。境界、特にインターネット向けのリソースを強化します。最後に、彼はまた、Microsoft 365 DefenderUnifiedInvestigationとクロスドメインの可視性を使用して脅威を検出してプロアクティブに対応することを顧客に奨励しました。マイクロソフトは、5月12日に開催されるマイクロソフトカンファレンスセキュリティサミットデジタルイベントでこの方向性についてさらに話し合う予定です。ここで登録できます。
コメントを残す