ランサムウェアの最新トレンドは「部分暗号化」と「三重の脅迫戦術」

Check Point Software Technologies このほど、「Newest Ransomware Trend: Attackers Move Faster with Partial Encryption - Check Point Blog」において、ランサムウェアの最新トレンドは「部分暗号化」だとして、高度化を続けるランサムウェア攻撃に注意を呼びかけた。

• Newest Ransomware Trend: Attackers Move Faster with Partial Encryption - Check Point Blog

Check Point Software Technologiesによると、今年5月3日(米国時間)の朝、ダラス市のセキュリティ担当者はセキュリティソフトウェアからランサムウェア攻撃の標的となった可能性があると警告を受けたという。実際に複数部門のサーバが影響を受けており、数日間システムを使用できなくなったとされる。この攻撃は「Royal」と呼ばれるランサムウェアグループによるもので、迅速かつ効率的に攻撃を遂行するために「部分暗号化」が使用されたという。

通常ランサムウェアを使った攻撃では標的のシステムに侵入したのち、可能な限りデータの窃取と暗号化を行う。その後データの復元に身代金を要求し、要求を無視された場合にデータを販売して利益を得ようとする。攻撃者は身代金を確実に得るために、被害者のデータ全体を暗号化して運用に支障が出るようにする。しかし大量にデータがある場合、暗号化に時間がかかるため途中で被害者に検知される可能性がある。そこで、攻撃者はより効率的で効果的な方法を模索するようになったという。

この模索により開発された部分暗号化(断続的暗号化とも呼ばれる)は、侵害したシステムのデータ全体を暗号化せず、データの一部または最も重要なファイルのみを暗号化する。Check Point Software Technologies はこの部分暗号化について、次のような利点があるとしている。

• 従来の暗号化よりも高速でリソースの消費も少ないため、被害者に検知される前に攻撃を完了できる
• データの一部のみが暗号化されるため、バックアップデータからの復元が難しくなる可能性がある
• セキュリティソリューションの自動検出では一部の小規模な変更には気づかない可能性がある。また、部分暗号化では完全に暗号化されたシステムに比べてシステムが不安定になりにくく、検出を遅らせることができる

Check Point Software Technologies によると、ランサムウェアグループ「Royal」は部分暗号化に加えて、複数の暗号化を同時に行うためマルチスレッドを利用するという。これにより暗号化処理が高速になり、攻撃の阻止が困難になる可能性があるとしている。さらに、ランサムウェアグループは従来の身代金の要求とデータ販売の二重の脅迫戦術から次のような三重の脅迫戦術に移行し始めていると指摘されている。