ファイル暗号化ランサムウェア プログラムは、世界中の企業ネットワークに対する最大の脅威の 1 つになっており、ますます洗練された検出回避および拡散技術を追加することで常に進化しています。
自尊心のあるマルウェア作成者なら誰でも、自分の作成したマルウェアがウイルス対策ソフトの検出をすり抜けるようにしてからリリースする世界では、企業のセキュリティ チームは、感染をすべて防ごうとするのではなく、感染への対応時間を改善することに重点を置かざるを得ず、それでは負け戦になる可能性が高い。
ユーザーおよびエンティティの行動分析プロバイダーである Exabeam は、機械学習アルゴリズムによってランサムウェアの検出と対応時間が大幅に改善され、そのようなプログラムがネットワーク内に拡散して多数のシステムに影響を与えるのを防ぐことができると考えています。
ランサムウェア作成者が要求する復号価格はシステムごとに計算されるため、影響を受けたコンピュータをできるだけ早く隔離することが重要です。先週、カルガリー大学は複数のシステムの復号鍵を入手するために、ランサムウェア作成者に2万カナダドル(約15,600米ドル)を支払ったと発表しました。
本日発表された新製品、Exabeam の Analytics for Ransomware は、同社の既存の行動分析テクノロジーを使用して、ランサムウェア感染を発生直後に検出します。
この製品は、企業の既存ログデータを用いて、コンピュータとユーザーの行動プロファイルを構築します。これにより、従業員のファイルや文書における行動の異常を分析することで、既存の検出シグネチャがなくても、未知のランサムウェアを検知することが可能になります。
誤検知を回避するために、このテクノロジーは、この種の脅威を示唆する可能性のある複数の疑わしいアクティビティのリスク スコアの合計が特定のしきい値に達したときに、インシデントをランサムウェアとしてフラグ付けします。
Exabeam のセキュリティ研究チームは、テスト用コンピュータ上で非常に多くのランサムウェア サンプルを実行し、その動作を観察させて脅威モデルを構築することで、研究室での製品のトレーニングを支援しています。
エクサビーム Exabeam は、行動の異常に基づいて脅威スコアを構築します。
この製品自体にはブロック機能は搭載されておらず、企業のセキュリティアナリストがセキュリティインシデントを迅速に特定し、対応するために利用することを目的としている。この製品は、既に社内セキュリティポリシー違反の検出機能を持つ同社のより大規模な分析プラットフォームのアドオンとして提供される。
脅威を中和する機能は組み込まれていませんが、プラットフォームは他のセキュリティ ツールと統合でき、アナリストはインシデントが検出されたときに自動的に実行される管理スクリプトを作成できます (たとえば、感染したコンピューターをネットワークの残りの部分から即座に隔離するなど)。
ランサムウェアは通常、ドライブバイダウンロード攻撃やフィッシングメールを通じて拡散されます。つまり、ユーザーの操作に基づいて、コンピュータが1台ずつ感染していくのです。しかし、企業環境では、従業員が利用するドキュメント共有サーバーやその他のコラボレーションサービス上のファイルにも感染するため、ランサムウェアは1台のコンピュータを超えて簡単に拡散する可能性があります。
最近、一部のランサムウェアプログラムはワームのような自己拡散能力を獲得しました。そのような脅威の一つにZCryptがあり、これは自身を外付けUSBドライブにコピーし、そこから不正なautorun.infファイルを介して実行されます。
Exabeam の研究者は、実験室環境で非常に多くのランサムウェア サンプルを実行することにより、身代金の最近の値上がりなど、いくつかの興味深い傾向も観察しました。
「2、3ヶ月前は、身代金の額は大抵0.4~1ビットコインでした」と、エクサビームの脅威調査責任者、バリー・シュタイマン氏は述べた。「しかし、ここ1ヶ月で状況は変わり、今では2~5ビットコインになっています。」
また、多くのランサムウェア作成者が現在、企業をターゲットにすることに重点を置いており、企業は重要なビジネス ファイルを回復するために一般消費者よりも多額の金銭を支払う意思と能力があるという事実も、この傾向につながっていると考えられます。
もう 1 つの興味深い点は、新しいランサムウェア インストーラーは 1 日以上機能し続けることはないということです。
これは「ランサムウェア攻撃が日々変化している」ことを示しているとシュタイマン氏は述べた。「まるで作成者がDevOpsモードで作業し、スパム送信パートナーに毎日新しいコードをリリースしているかのようだ」
