勝手にマシンが再起動したり、プリンタが印刷しはじめるという「異常現象」は、ここ数年ランサムウェアの被害でみられます。しかしこれはどういうことでしょうか。なにかマルウェアが自動で行っているのでしょうか。
我々はランサムウェアの攻撃はマルウェアによって、自動で行われると思いがちですが、ランサムウェア神話で語られているように、実際には、人間(多くはターゲットに精通したアフィリエイター)が数週間から数ヶ月かけて行っています。
手動で行うことで攻撃者は、ターゲットを大企業ではなく中小企業に移しても、収益を最大化できるようにしているのです。そして周到な準備を整えた上で開始される恐喝は、応答がなければ、徐々にエスカレーションしていく卑劣なものとなっています。
はじめは画面上でのメッセージ、応答がなければさきほどの再起動やプリンターからの印刷など、つまりなにかマルウェアが勝手にしているのではなく、被害者に心理的ショックを与え、有利な取引に持ち込むべく意図的に行われているのです。またこの恐喝はさらにエスカレーションされると、被害者のネットワークから取引先のネットワークにDDoS攻撃を仕掛けるなど卑劣さを増していきます。
ですので、数週間から数ヶ月かけて、攻撃者がスパイシステムを検出されないように機能を分散させて構築していく段階で、ネットワーク内のそのあらゆる動き、機会を捉えて検知できるよう、モダンセキュリティである多層防御層が社内に展開済であることを望まれるのです。
さらに被害後にランサムウェアの攻撃を受けたマシンだけに注目して駆除しても、分散された攻撃網は、引き続き利用中のマルウェア対策製品では検出できず残るため、ほとぼりが冷めた頃に、また繰り返し繰り返し、被害を受けてしまうことがあるのです。
(事例)繰り返しランサムウェアの攻撃を受けている最前線で感染をゼロに