SECURITY

ランサムウェアは45分未満で約10万ファイルを暗号化する

SURGeSplunkの戦略的サイバーセキュリティ専門家チームであるSURGeは、2021年の創設以来、サイバー攻撃やセキュリティインシデントにおいて、様々なセキュリティチームを支援してきました。SURGeはこのたび、ランサムウェアに関する新たな 調査結果を発表しました。この調査では、LockBit、REvil、Blackmatterなどの主要なランサムウェア10種が短時間でどのように10万近くのファイルを暗号化するのかを分析しています。 

この調査により、ランサムウェアのバリアント(​​亜種・変種)は合計53.93GBにおよぶ約10万のファイルを42分52秒(中央値)で暗号化できることが明らかになりました。ランサムウェアに感染すると、組織は重要な知的財産、従業員情報、および顧客データにアクセスできなくなる可能性があります。   

SURGeの目標は、セキュリティ担当者に対して日々の実用的なナレッジを提供することです。この最新調査では、これまでランサムウェアの担当者のみが対応してきたと思われる領域を分析しています。多くのセキュリティチームは、ランサムウェアに感染すると、その影響の緩和と対応に注力しますが、今回の調査では、ほとんどの組織が対応できないほどの速さで暗号化が行われ、組織はランサムウェア攻撃を受けてからその拡散を止めようとしても手遅れになる可能性があることが分かりました。

全体として、ランサムウェアの影響はその種類とリソースによって変動する可能性があることが明らかになっています。主な調査結果は以下の通りです。

  • 暗号化速度はランサムウェアの種類によって異なる:暗号化速度は、4分から3時間30分まで、ランサムウェアのサンプルによって大きく異なりました。
  • 暗号化速度はLockBitが最速:Ransomware-as-a-Service (RaaS)として展開されているLockBitは、中央値より86%速くあらゆるシステム上で暗号化する最速のバリアントであることが分かりました。LockBitのサンプルは、1分間に約2万5,000ファイルを暗号化します。
  • 同じ種類のランサムウェアでもシステムによって影響が異なる:ハードウェアが高性能であるほど、ほとんどのランサムウェアのサンプルで暗号化速度が高速化しましたが、一部のサンプルとバリアントではマルチスレッドプロセッサの利点を活かしきれていないようでした。
    • 追加メモリーは、どのサンプルにおいても有意な影響を示しませんでした。
    • ディスク速度の高速化は、ランサムウェアの暗号化の高速化に関与している可能性がありますが、ほとんどの場合、追加のCPUコアを利用できるバリアントとの組み合わせになると考えられます。

結論として、この調査から、組織は対応と緩和策ではなくランサムウェアの感染防止に注力する必要があることが分かりました。感染を防止するために組織が取ることのできる実践的な手順や戦略としては、適切なパッチ適用、資産のインベントリ、MFA、またネットワーク上のランサムウェア攻撃の検出をランサムウェアバイナリが展開される前に行うことなどが挙げられます。また、SURGeはこのようなデータを示すだけではなく、ネットワーク防御チームが自ら分析と確認を行えるようbots.splunk.comでそのデータを公開する予定です。ブルーチームと調査担当者の方々には、SURGeが提供するデータをご確認いただくことをお勧めします。  

このホワイトペーパーは、世界中のセキュリティチームに関連する調査結果を発表する今年最初のホワイトペーパーです。また、SURGeのSecurity StrategistであるShannon Davisのブログにおいても、今回の調査結果についての詳細が紹介されています。

調査方法について

本調査では、SURGeがSplunk Attack Rangeラボ環境のカスタムバージョンを作成し、ランサムウェアのバリアント10種についてそれぞれ10個のサンプルを、中程度の性能と高性能のハードウェアを備えた4つのホスト(2台はオペレーティングシステムがWindows 10、残りの2台はWindows Server 2019で動作)で実行しました。SURGeは各ホストのWindowsログ機能を有効にして、Splunkでデータの収集、統合、分析を行いました。これを受けて調査担当者が、ランサムウェアの各バリアントが10万個近くのファイルを暗号化した速度を測定し、ランサムウェアがプロセッサ、メモリー、ディスクなどのシステムリソースをどのように利用したかを調べました。

SURGeについて

2021年10月に創設されたSURGeは、世界的に影響をおよぼすサイバー脅威に関する調査、対応、教育を専門的に行う戦略的サイバーセキュリティ調査部門です。SURGeは、信頼できるアドバイザーとして、対応ガイドや詳細な分析を調査報告書、会議論文、またはウェビナーとして提供し、注目度が高く一刻を争うようなサイバー攻撃に直面した際に役立つ技術的なアドバイスを提供しています。組織はSURGeを利用して適切なコンテキスト情報や推奨事項をタイムリーに受け取ることができるため、グローバルなセキュリティインシデントにも確かな情報に基づいて対応することができます。

このブログはこちらの英語ブログの翻訳です。

April 12, 2022
Ryan Kovar
Posted by

Ryan Kovar

NY. AZ. Navy. SOCA. KBMG. DARPA. Splunk.

TAGS
SURGe
Show All Tags
Show Less Tags