ランサムウェアの行動パターンとは？

ランサムウェアは、個人、法人問わず、サイバーセキュリティの大きな関心事の一つです。サイバー攻撃において2016年は、ランサムウェアの年と言っても過言ではありませんでした。この傾向は今後も継続すると考えられています。実際、IPAの “情報セキュリティ10大脅威 2017” においてもランサムウェアによる被害は、個人、法人ともに２位にランクしています。

出典：IPA 情報セキュリティ10大脅威2017

ランサムウェアの動作はいくつかの大まかな行動パターンに区分することができます。ではランサムウェアの動きを見ていきましょう。

1. ランサムウェアへの感染

ランサムウェアは、組織に入り込み、エンドポイントを目掛けて到達してきます。これはマルウェア挙動に酷似しています。ランサムウェアは、容易に識別できる既知の種類のものもあれば、亜種(派生した変異体)は、新しいものになりますが、既知のランサムウェアと同じ動作をします、また高度なマルウェア同様、未知のものも含まれます。

2. C＆Cへの接続

ランサムウェアに感染後、ランサムウェアは、C＆C（コマンド＆コントロール）サーバーに公開鍵を取得します。ランサムウェアは、エンドポイント上のファイルを暗号化するために、このキーを使用し、対応する秘密鍵の支払いを要求します。また多くのランサムウェアは、内部に暗号化キーがビルトインされていて、C＆Cサーバーに接続ができない場合でも、ダメージを引き起こすことができます。

3. ランサムウェアによるファイルの暗号化

ランサムウェアは、暗号化キーを取得するか、内部キーを使用した後に、暗号化処理を開始します。ランサムウェアは、ローカルに保存されたファイルを暗号化しますが、それだけでなく多くの場合は、マシンがアクセスできる共有ネットワークドライブなどのネットワークデータを暗号化する機能があります。

4. OS内部に侵入

最近の高度なランサムウェアは、身代金が支払われるまでマシン全体の使用を停止するなど、より無差別になっています。また、種類によっては、マスターブートレコードにランサムウェアを埋め込み、シャットダウンを引き起こし、再起動時にディスク全体を暗号化します。

5. ランサムウェアの感染拡大

可能な限りのダメージを与えるように、ランサムウェアはできるだけ多くのファイルやディレクトリに到達しようと試みます。ネットワークドライブに加えて、接続されているマシンのエンドポイントをスキャンし、アクセス権の取得を試みて、データの暗号化さらに追加の接続されたマシンをスキャンしていきます。

6. ランサムウェアによる脅迫

暗号化が完了するとランサムウェアは、デスクトップに被害者への脅迫文を表示します。これは、何が起こっていることをエンドユーザーに示す最初の指標です。ランサムウェアは、秘密暗号鍵と引き換えに支払いを要求します。（攻撃者が簡単に追跡できないため、匿名性の高いビットコインで要求されます。）多くの場合、脅迫文は身代金を払う期間を数日と短い時間枠で設定します。

ホワイトペーパー「ランサムウェアとは何か」

ランサムウェアによる攻撃は、ほかの攻撃手法にくらべ手間がかからず、その一方で攻撃者は、ずっと大きな利益を手に入れています。スパム型の攻撃はその効果がほぼ薄れており、また、クレジットカードや銀行口座の情報を盗む手口は、盗んだ情報を使って実際に金を盗み取るために、一定の犯罪基盤を必要とします。

では、ランサムウェアは、他のマルウェアとは何が違うのか？
本書から3つの特徴を学ぶことができます。
https://www.cybereason.co.jp/product-documents/white-paper/1171/