ランサムウェア

Ransomware は、感染したシステム上のファイルを暗号化し、復号キーの支払いを要求するマルウェアです。最新の亜種では、データの窃取 (「二重恐喝」) と、身代金が支払われない場合に盗まれたデータを漏洩するとの脅迫 (「三重恐喝」) が追加されています。このカテゴリは 1989 年に AIDS トロイの木馬とともに出現し、2013 年頃に暗号通貨が登場するまで好奇の対象であり、ビジネスを大規模に実行可能にする支払いレールを提供しました。

感染の展開方法

ほとんどの最新のランサムウェア攻撃は、認識できる進行をたどります:

1. 初期アクセスフィッシングメール、公開された RDP、パッチが適用されていない VPN アプライアンス、または初期アクセス ブローカー (IAB) によって販売される盗難された認証情報 (身代金ペイロードではなくエントリのみを販売する専門家)。
2. 永続性と権限昇格。 攻撃者は、スケジュールされたタスク、サービス、またはドメインを介して長期アクセスを確立します。 accounts.
3. Reconnaissance. 環境をマップします: ドメイン コントローラー、ファイル サーバー、バックアップ システム、ハイパーバイザー、機密データ ストア。このフェーズは数日から数週間続く場合があります。
4. 防御の無効化。ウイルス対策の無効化、ログの改ざん、到達可能な範囲のシャドウ コピーとバックアップの削除。
5. Exfiltration.追加の活用として機密データを盗みます。最近の攻撃者は、暗号化する前にファイルを削除します。
6. Encryption. ランサムウェア ペイロードを、多くの場合グループ ポリシーまたは PsExec 経由で、できるだけ多くのエンドポイントとサーバーに展開します。
7. Negotiation. 身代金メモがすべての画面に表示されます。固有のチャット URL または電子メールは、復号化が交渉されるオペレーターのポータルにつながります。

経済

ランサムウェアは、Ransomware-as-a-Service (RaaS) と呼ばれる完全に専門化された産業になりました。モデル:

• Operators (Conti、LockBit、BlackCat、Cl0p、その他) はマルウェアを開発し、交渉ポータルを実行し、復号化を処理し、「顧客サービス」を提供します。
• Affiliates は実際の侵入を実行し、オペレーターの攻撃を展開します。ペイロード。彼らは身代金の 70 ～ 80% を受け取ります。残りはオペレーターが保持します。
• 初期アクセス ブローカーは、ターゲットの収益に応じて、企業ネットワークへのアクセスを 500 ドルから 50,000 ドルで販売します。
• 交渉スペシャリスト、マネーロンダリング業者、および OSINT アナリスト は、オペレーション.

サプライチェーン全体はロシアと中国のフォーラム（主にロシア語）で運営されており、支払いは暗号通貨ミキサーを通じて行われます。 2025 年の時点で、エンタープライズをターゲットとした身代金の平均要求額は数百万ドルに達しており、高収入の被害者は復号化に 500 万ドル以上を支払っています。

暗号化

最新のランサムウェアはハイブリッド暗号化を使用しています。つまり、各ファイル (またはファイル システム全体) に新しい AES-256 キーを使用し、その後、オペレーターの RSA-2048 で暗号化された AES キーを使用します。またはマルウェアに埋め込まれた ECDH 公開キー。オペレータの秘密キーがなければ、いくら計算能力を発揮してもファイルを復号化できません。これは、正規のソフトウェアで使用されるのと同じ暗号化パターンです。暗号の強度は弱いリンクではありません。

弱いリンクは実装中に時々存在します。初期の WannaCry には回復を可能にするキー管理のバグがありました。 LockBit の交渉ポータルには、研究者がキーを取得するために悪用した脆弱性がありました。一部の小規模な株は、欠陥のあるモードで AES を使用しています。法執行機関の特別部隊は何度か復号器を漏洩している。しかし、巧妙に設計され、現在活動中の株の場合、オペレーターにお金を支払うことが唯一の技術的な回復手段です。

被害者がお金を払う理由

特にバックアップも暗号化されている場合の経済計算: 100 万ドルを支払えば、48 時間で回復します。料金はかかりません。オフサイトのバックアップ (存在する場合) から再構築し、2 ～ 6 週間で回復します。ダウンタイム中に顧客やパートナーを失います。 5 億ドルのビジネスにとって、手の届かない選択は、身代金ではなく、長期にわたる回復です。保険はこれまで身代金を払い戻してきました。

支払いに関する戦略的問題: 次の攻撃に資金を提供し、被害者が支払いのターゲットであることを示すという保険会社が増えています。サイバーセキュリティ企業、政府機関、および多くの CISO は、実行可能な代替手段がある場合は料金を支払わないことを強く推奨しています。

実際に防御する方法

ランサムウェアを防ぐ単一のツールはありません。実際に組み合わせて機能する防御:

• 不変のオフネットワーク バックアップ。 運用ネットワークから変更または削除できないバックアップ。復元可能性について定期的にテストされます。 WORM ストレージ、個別のクラウド アカウント、エアギャップ メディア。
• MFA どこでも、管理者用のハードウェア キー。 ほとんどの初期アクセスは依然として資格情報を介して行われます。 ハードウェア キー 2FA は、AitM フィッシングを阻止します。
• EDR は動作検出を使用します。 最新のエンドポイント検出は、ランサムウェアのような動作 (大量のファイル変更、シャドウ コピーの削除、暗号化ライブラリの呼び出し) を探し、数秒で展開を停止できます。
• ネットワークセグメンテーション. 侵入の爆発半径は、ネットワークがどの程度フラットであるかに相関します。マイクロセグメンテーション、ジャンプ ホスト、および範囲が狭いサービス アカウントには、スプレッドが含まれています。
• 公開されたサービスへのパッチ適用。 VPN アプライアンス、RDP ゲートウェイ、電子メール サーバー、およびインターネットに公開されたアプリが最も一般的なエントリ ポイントです。開示期間内にパッチを適用してください。
• インシデント対応の保持者。 IR 会社との事前に取り決められた契約により、対応時間が数日から数時間に短縮され、身代金支払いの圧力が軽減されます。

法執行機関の番

2024 ～ 2026 年には、国際的に協調した対応が見られました。 FBI による Hive の閉鎖 (2023 年)、LockBit の閉鎖 (2024 年)、および通信事業者のインフラストラクチャの継続的な押収により、主要な RaaS ブランドの運営コストが上昇しました。通信事業者は頻繁にブランド変更や再構成を行っているが、離職率のせいで事業は目に見えて困難になっている。暗号通貨の追跡 (Chaina Analysis、TRM Labs) も十分に改善されており、ミキサーを通じたマネーロンダリングはもはや保証された浄化ステップではなくなりました。

中期的な軌道: ランサムウェアは継続しますが、防御力が向上し、アトリビューションが高速化するにつれて、このモデルの収益性は低下します。軌道が十分に速く曲がるかどうかは、この 10 年間の政策問題です。