ランサムウェアは45分未満で約10万ファイルを暗号化する

Ryan Kovar

Splunkの戦略的サイバーセキュリティ専門家チームであるSURGeは、2021年の創設以来、サイバー攻撃やセキュリティインシデントにおいて、様々なセキュリティチームを支援してきました。SURGeはこのたび、ランサムウェアに関する新たな調査結果を発表しました。この調査では、LockBit、REvil、Blackmatterなどの主要なランサムウェア10種が短時間でどのように10万近くのファイルを暗号化するのかを分析しています。

この調査により、ランサムウェアのバリアント（亜種・変種）は合計53.93GBにおよぶ約10万のファイルを42分52秒(中央値)で暗号化できることが明らかになりました。ランサムウェアに感染すると、組織は重要な知的財産、従業員情報、および顧客データにアクセスできなくなる可能性があります。

SURGeの目標は、セキュリティ担当者に対して日々の実用的なナレッジを提供することです。この最新調査では、これまでランサムウェアの担当者のみが対応してきたと思われる領域を分析しています。多くのセキュリティチームは、ランサムウェアに感染すると、その影響の緩和と対応に注力しますが、今回の調査では、ほとんどの組織が対応できないほどの速さで暗号化が行われ、組織はランサムウェア攻撃を受けてからその拡散を止めようとしても手遅れになる可能性があることが分かりました。

全体として、ランサムウェアの影響はその種類とリソースによって変動する可能性があることが明らかになっています。主な調査結果は以下の通りです。

暗号化速度はランサムウェアの種類によって異なる：暗号化速度は、4分から3時間30分まで、ランサムウェアのサンプルによって大きく異なりました。
暗号化速度はLockBitが最速：Ransomware-as-a-Service (RaaS)として展開されているLockBitは、中央値より86%速くあらゆるシステム上で暗号化する最速のバリアントであることが分かりました。LockBitのサンプルは、1分間に約2万5,000ファイルを暗号化します。
同じ種類のランサムウェアでもシステムによって影響が異なる：ハードウェアが高性能であるほど、ほとんどのランサムウェアのサンプルで暗号化速度が高速化しましたが、一部のサンプルとバリアントではマルチスレッドプロセッサの利点を活かしきれていないようでした。
- 追加メモリーは、どのサンプルにおいても有意な影響を示しませんでした。
- ディスク速度の高速化は、ランサムウェアの暗号化の高速化に関与している可能性がありますが、ほとんどの場合、追加のCPUコアを利用できるバリアントとの組み合わせになると考えられます。

結論として、この調査から、組織は対応と緩和策ではなくランサムウェアの感染防止に注力する必要があることが分かりました。感染を防止するために組織が取ることのできる実践的な手順や戦略としては、適切なパッチ適用、資産のインベントリ、MFA、またネットワーク上のランサムウェア攻撃の検出をランサムウェアバイナリが展開される前に行うことなどが挙げられます。また、SURGeはこのようなデータを示すだけではなく、ネットワーク防御チームが自ら分析と確認を行えるようbots.splunk.comでそのデータを公開する予定です。ブルーチームと調査担当者の方々には、SURGeが提供するデータをご確認いただくことをお勧めします。

このホワイトペーパーは、世界中のセキュリティチームに関連する調査結果を発表する今年最初のホワイトペーパーです。また、SURGeのSecurity StrategistであるShannon Davisのブログにおいても、今回の調査結果についての詳細が紹介されています。

調査方法について

本調査では、SURGeがSplunk Attack Rangeラボ環境のカスタムバージョンを作成し、ランサムウェアのバリアント10種についてそれぞれ10個のサンプルを、中程度の性能と高性能のハードウェアを備えた4つのホスト(2台はオペレーティングシステムがWindows 10、残りの2台はWindows Server 2019で動作)で実行しました。SURGeは各ホストのWindowsログ機能を有効にして、Splunkでデータの収集、統合、分析を行いました。これを受けて調査担当者が、ランサムウェアの各バリアントが10万個近くのファイルを暗号化した速度を測定し、ランサムウェアがプロセッサ、メモリー、ディスクなどのシステムリソースをどのように利用したかを調べました。

SURGeについて

2021年10月に創設されたSURGeは、世界的に影響をおよぼすサイバー脅威に関する調査、対応、教育を専門的に行う戦略的サイバーセキュリティ調査部門です。SURGeは、信頼できるアドバイザーとして、対応ガイドや詳細な分析を調査報告書、会議論文、またはウェビナーとして提供し、注目度が高く一刻を争うようなサイバー攻撃に直面した際に役立つ技術的なアドバイスを提供しています。組織はSURGeを利用して適切なコンテキスト情報や推奨事項をタイムリーに受け取ることができるため、グローバルなセキュリティインシデントにも確かな情報に基づいて対応することができます。

このブログはこちらの英語ブログの翻訳です。

タグ

Security Research SURGe

Ryan Kovar

NY. AZ. Navy. SOCA. KBMG. DARPA. Splunk.

セキュリティ 4 分程度

SIEMとSOCの関係を紐解く - なぜ、今これらが重要なのか

サイバー攻撃の被害がますます増加するなか、企業は社内ネットワークにおける異常・不審な挙動をいち早く検知し、速やかかつ適切に対処することが求められます。このなかで鍵となるのが、「SOC」。そして、「SIEM」といった存在です。それぞれの概要から、関係性、活用時の注意点（課題）などを解説します。

セキュリティ 15 分程度

Snake Keyloggerの仕組み：ローダー、戦術、技法、手順の分析

Splunk脅威調査チームが提供するこのブログでは、セキュリティアナリストやブルーチームが脅威の戦術を認識して阻止するための重要な情報を提供します。

セキュリティ 6 分程度

Splunk脅威調査チームによるセキュリティコンテンツ

Splunk脅威調査チームがSplunkセキュリティコンテンツをどのように開発しているかをご紹介します。セキュリティインシデントが増加し、システムが複雑化している今日、検出エンジニアリングチームや脅威調査チームは、ESCU Appを使用することで潜在的な脅威の検出と対応を効率化できます。

Splunkについて

Splunkプラットフォームは、データを行動へとつなげる際に立ちはだかる障壁を取り除いて、オブザーバビリティチーム、IT運用チーム、セキュリティチームの能力を引き出し、組織のセキュリティ、レジリエンス(回復力)、イノベーションを強化します。

Splunkは、2003年に設立され、世界の21の地域で事業を展開し、7,500人以上の従業員が働くグローバル企業です。取得した特許数は1,020を超え、あらゆる環境間でデータを共有できるオープンで拡張性の高いプラットフォームを提供しています。Splunkプラットフォームを使用すれば、組織内のすべてのサービス間通信やビジネスプロセスをエンドツーエンドで可視化し、コンテキストに基づいて状況を把握できます。Splunkなら、強力なデータ基盤の構築が可能です。

Splunkの詳細はこちら

ランサムウェアは45分未満で約10万ファイルを暗号化する

調査方法について

SURGeについて

関連記事

SIEMとSOCの関係を紐解く - なぜ、今これらが重要なのか

Snake Keyloggerの仕組み：ローダー、戦術、技法、手順の分析

Splunk脅威調査チームによるセキュリティコンテンツ

Splunkについて

ブログのメール配信

XでSplunkとつながる

FacebookでSplunkとつながる