2021年のランサムウェア攻撃の攻撃時間は、初期ネットワークアクセスからペイロードの展開までを測定して平均92.5時間だったことがわかりました。
2020年、ランサムウェアの攻撃者はは攻撃を完了するために平均230時間を必要とし、2019年には1637.6時間を必要としていました。
この変化は、大規模なオペレーションをより収益性の高いものにするために、長年にわたって徐々に発展した、より合理的なアプローチを物語っています。
同時に、インシデントレスポンスと脅威検知の改善により、攻撃者はより迅速に行動し、防御者の反応マージンを小さくすることを余儀なくされています。
アクセスブローカーから暗号化まで
このデータは、IBMのX-Forceチームの研究者が2021年に分析したインシデントから収集したもので、彼らは初期アクセスブローカーとランサムウェアの運営者の協力関係がより緊密になっていることも発見しています。
以前は、ネットワークアクセスブローカーは、ネットワークアクセスの買い手を見つけるまで、何日も、あるいは何週間も待つことがありました。
また、ランサムウェアの中には、マルウェア「TrickBot」の運用を引き継いだContiのように、最初の感染経路を直接管理する組織も出てきています。
企業ネットワークに侵入したマルウェアは、攻撃のポストエクスプロイト段階を可能にするために迅速に活用され、時にはわずか数分で目的を達成することもあります。
ランサムウェアの攻撃者が使用するツールや手法については、セッション維持にはCobalt Strike、横移動にはRDP、認証情報にはMimikatzとLSASS dump、ネットワークホスト上にペイロードを展開するにはSMB + WMICとPsexecが一般的に使用されるようです。
検知の高速化、しかし十分ではない
2021年の脅威検知・対応システムの性能は2019年より向上しましたが、これは十分ではなかったと述べています。
この分野で最も目覚ましい発展を遂げたのは、エンドポイント検出ソリューションで、2019年には対象となる組織の8%のみがそのような機能を備えていましたが、2021年にはこの割合が36%に増加しました。
セキュリティツールが生成するアラートについては、IBM X-Forceのデータによると、2019年には攻撃された組織の42%がタイムリーに警告を受けた。昨年は、ネットワーク侵入の64%でアラートが配信されました。
今後の展望
防御性能の向上にもかかわらず、ランサムウェアは引き続き大きな脅威となっています。これは、攻撃者が高度な標的型アプローチを採用し、手動ハッキングに切り替えて被害者ネットワーク内に侵入し、攻撃の最終段階であるシステム暗号化まで目立たないようにするためです。
ランサムウェアの攻撃者は、明らかに、より迅速に行動するようになっています。2022年4月の事例では、IcedIDマルウェアの感染から、わずか3時間44分でQuantumランサムウェアの展開に至った事例が紹介されています。
また、最近は暗号化処理も早くなっています。いったん始まると、かなりの被害が出る前に止めるのは非常に難しいケースが多いのです。
Comments