ランサムウェアはクラウド データを暗号化する可能性がある

ランサムウェアは砂粒のように小さく、どこにでも存在します。そして、あなたが思っている以上に暗号化することができます。個人ファイルが破壊されるのは大きな損失ですが、ランサムウェアがあなたのコピーを攻撃すると、この苦痛はさらに大きくなります。

ランサムウェアには、ハード ドライブだけでなく他のシステム ドライブも攻撃する亜種がいくつかあり、クラウド ドライブも視野に入れています。したがって、ファイルのバックアップとは何か、またコピーがどこに保存されるのかを正確に確認する必要があります。

あらゆる場所でのランサムウェア攻撃

私たちは、ランサムウェア攻撃が壊滅的な被害をもたらす可能性があることを知っています。ランサムウェアは、その標的となるファイルがあらゆる種類の写真、音楽、映画、ドキュメントであるため、特に障害となります。ハード ドライブには、暗号化の主な対象となる個人用、仕事用、ビジネス用のファイルが保存されています。暗号化されると、ファイルを安全に解放するために、通常は追跡が困難なビットコインでの支払いを要求する身代金メッセージが表示されます。

その場合でも、暗号化パスワードや復号化ツールを受け取る保証はありません。

クリプトロッカー

CryptoLocker は、複数のハード ドライブを暗号化できる暗号化ランサムウェアの亜種です。このウイルスは 2013 年に初めて出現し、感染した電子メールの添付ファイルを通じて拡散しました。 CryptoLocker をコンピューターにインストールすると、ハード ドライブをスキャンしてファイル拡張子の特定のリストを検索できます。さらに、USB であってもネットワークであっても、マシンに接続されているすべてのドライブをスキャンします。

読み取り/書き込みアクセスのあるネットワーク ドライブは、ハード ドライブと同様に暗号化されます。これは、従業員が共有ネットワーク フォルダーにアクセスする企業にとっては課題です。

幸いなことに、セキュリティ研究者は CryptoLocker の被害者データベースのコピーを公開し、それぞれの暗号化を照合しました。彼らは、被害者がファイルを復号化できるように、Decrypt CryptoLocker ポータルを作成しました。

進化：クリプトフォートレス

CryptoLocker が出現し、500,000 人の被害者がいると主張しました。 Dell SecureWorks の Keith Jarvis 氏によると、CryptoLocker は恐喝行為から最初の 100 日間で 3,000 万ドルを受け取った可能性があります (各被害者が身代金として 300 ドルを支払った場合、その額は最大 1 億 5,000 万ドルに達します)。ただし、CryptoLocker の削除は、ネットワーク ドライバー マッピング ランサムウェアの防止の始まりではありません。

CryptoFortress は、セキュリティ研究者の Kafein によって 2015 年に発見されました。外観とアプローチは TorrentLocker と似ていますが、重要な進歩の 1 つです。マップされていないネットワークドライバーを暗号化できます。

通常、ランサムウェアは、マッピングされたネットワーク ドライブ (C:、D:、E: など) のリストを取得し、ドライブをスキャンし、ファイル拡張子を比較して暗号化し、対応するファイルを暗号化します。さらに、CryptoFortress は、開いているサーバー メッセージ ブロック (SMB) ネットワーク共有をすべて列挙し、見つかったものを暗号化します。

ロッキー

Locky はランサムウェアの別の亜種で、個々のファイルを .locky に変更したり、wallet.dat (ビットコインのウォレット) に変更したりすることで有名です。 Locky は、コンピュータ上のファイルやマップされていないネットワーク共有上のファイルもターゲットにし、プロセス中にファイルを変更します。この混乱により、回復プロセスがさらに困難になります。

さらに、Locky にはデコーダがありません。

クラウド上のランサムウェア

ランサムウェアはネットワークやコンピュータの物理メモリをバイパスし、クラウド データも超越します。これは重要な問題です。クラウド ストレージは最も安全なバックアップ オプションの 1 つとして頻繁に宣伝されており、データを内部ネットワーク共有から遠ざけてバックアップするため、周囲の危険から隔離されます。しかし、残念なことに、ランサムウェアの亜種はこのセキュリティを回避してしまいました。

RightScale の State of the Cloud レポートによると、82% の企業がマルチクラウド戦略を採用しています。また、Intuit によるさらなる調査 (Slideshare 電子ブック) では、2020 年までに中小企業の 78% がクラウド機能を使用することが示されています。大小を問わず企業によるこの急激な変化により、クラウド サービスがランサムウェア ベンダーの主な標的となっています。

Ransom_Cerber.cad

マルウェア ベンダーはこの問題を回避する方法を見つけるでしょう。ソーシャル エンジニアリングと電子メール フィッシングは重要なツールであり、堅牢なセキュリティ制御を回避するために使用できます。トレンドマイクロのセキュリティ研究者は、RANSOM_CERBER.CAD と呼ばれる特別なランサムウェアの亜種を発見しました。これは、Microsoft 365、クラウド コンピューティング、生産性プラットフォームのホーム ユーザーおよびビジネス ユーザーを対象としています。

Cerber 亜種は、AES-265 と RSA の組み合わせを使用して 442 種類のファイルを暗号化し、コンピューター上の Internet Explorer のゾーン設定を変更し、シャドウ コピーを削除し、Windows スタートアップ修復を無効にし、Outlook プログラム、The Bat!、Thunderbird、および Microsoft Word を終了することができます。

さらに、これは他のランサムウェア亜種によってもたらされる動作ですが、Cerber は影響を受けるシステムの地理的位置を照会します。ホスト システムが独立国家共同体 (ロシア、モルドバ、ベラルーシなどの旧ソ連諸国) のメンバーである場合、ランサムウェアは自動的に終了します。

汚染のツールとしてのクラウド

ランサムウェア Petya は 2016 年に初めて登場しました。この亜種に関する注目すべき点は、まず、Petya はパーソナル コンピュータのマスター ブート レコード (MBR) 全体を暗号化し、システムをクラッシュさせる可能性があることです。緑色のイメージです。これにより、システム全体が使用できなくなります。その後、再起動すると、代わりに Petya の身代金メモが表示され、頭蓋骨の写真とビットコインでの支払い要求が記載されました。

2 つ目は、Petya が、要約を装った Dropbox に保存された感染ファイルを通じて複数のシステムに拡散しました。このリンクはアプリケーションの詳細として偽装されていますが、実際にはランサムウェアをインストールするための自己解凍型実行可能ファイルにリンクしています。

幸運なことに、匿名のプログラマーが Petya の暗号を解読する方法を発見しました。このメソッドは、MBR のロックを解除し、キャプチャされたファイルを解放するために必要な暗号化キーを検出できます。

クラウド サービスを使用してランサムウェアを拡散することは理解できます。ユーザーは、追加のセキュリティ層を提供するクラウド ストレージ ソリューションを使用してデータをバックアップすることが推奨されています。安全性はクラウド サービスの成功の鍵です。しかし、クラウド セキュリティに対するユーザーの信頼が悪用される可能性があります。

要するに

クラウド ストレージ、マップされたまたはマップされていないネットワーク ドライバー、システム ファイルは依然としてランサムウェアに対して脆弱です。これはもはや新しいことではありません。しかし、マルウェアの配布者は積極的にバックアップ ファイルをターゲットにしており、ユーザーの不安のレベルは高まっています。それどころか、追加の予防措置を講じる必要があります。

ホームユーザーおよびビジネスユーザーは、重要なファイルをリムーバブルハードドライブにバックアップする必要があります。今すぐ行動を起こすことは、信頼できないソースからの望ましくないランサムウェア感染後にシステムを回復するのに役立ちます。