先週、ランサムウェアの新たな波が、OT のセキュリティを脅かしていることをお伝えした。例えば、ファイルを暗号化するランサムウェア「Snake」には、プロセスを中断させるという明確な目的を持ったコードが含まれている。
この新しいOT 、IoT ランサムウェアの猛攻撃のもう一つの側面は、データを流出させ、企業の評判を損なう可能性があると脅すことを目的としたマルウェアである。
さらに、この種の攻撃の背後にいる脅威行為者は、個人データを不適切に開示した場合にGDPRの下で企業が直面する罰金を計算するかもしれない。そして、身代金を罰金以下に設定し、支払いを促す。
DoppelPaymerのような成功した攻撃は、疑うことを知らない個人を攻撃するよりも、大組織を恐喝する方がはるかに利益を上げられることを示しています。この種の脅威の力学と、それが資産所有者にもたらすリスクについて考えてみよう。
OT 組織の評判を脅かすランサムウェア
DoppelPaymerランサムウェアは2019年、様々な大組織を攻撃し恐喝したことで話題になった。DoppelPaymer、BitPaymer、SamSam、Ryukなどの標的型ランサムウェアが大企業を攻撃するのは、この戦術が無防備な個人を攻撃するよりもはるかに収益性が高い可能性があるからだ。企業の運営を混乱させることは、被害者に要求された身代金を支払わせようとする脅威行為者が活用するものであり、コストがかかる可能性があります。
DoppelPaymerの運営者は最近ウェブサイトを立ち上げ、当初はTorネットワーク経由でしかアクセスできなかったが、現在はクリアネット上でもアクセスできる。このサイトの目的は、身代金の支払いを拒否した被害者から盗まれたデータを流出させることだ。2019年11月には、国営の大手石油会社がランサムウェア攻撃を受けた。 現在、DoppelPaymerのウェブサイトで、電気通信会社などとともに被害者として紹介されている。
データを流出させ、要求された身代金を支払わなければ流出させると脅すランサムウェアはDoppelPaymerが初めてではない。私たちは、企業が支払いを拒否した後に流出したデータが公開されたMazeランサムウェアでもこのような事例を目にしている。ランサムウェアは、一般データ保護規則(GDPR)に関連してさらなる脅威をもたらす可能性がある。
OT 組織をGDPRの罰則にさらすランサムウェア
ランサムウェア攻撃には、個人データの漏洩が含まれる可能性があります。被害者が欧州連合(EU)にいる場合、現地のデータ保護当局にインシデントを報告する必要がある。このことを知っている脅威者は、GDPRの下で企業が直面するであろう罰金を計算し、罰金ギリギリの身代金を要求する。
組織は身代金を支払い、インシデントを報告しないことを好むかもしれない。もし現地当局にインシデントを報告すれば、調査され、罰金を科される可能性がある。さらに、調査によって他のGDPR違反が見つかるかもしれない。
一方、企業はランサムウェアのインシデントをうやむやにして法を犯すよりも、罰金のリスクを好むかもしれない。攻撃中に個人データが盗まれたり、変更されたり、破壊されたりしなかった場合、GDPR違反と認定されない可能性もある。
OT セキュリティの新たな脅威には、新たなインシデントレスポンス計画が必要である。
ここで説明したような新しいランサムウェアのシナリオは、組織のインシデントレスポンス計画に織り込んでおく必要がある。技術的な対応だけでなく、意思決定者は代替措置のリスクと結果を考慮する準備が必要である。
ランサムウェアの脅威者は通常、スピアフィッシングのリンクや脆弱な公共サービスを利用してネットワークに最初に侵入します。その後、ネットワークのできるだけ多くのノードにアクセスするために横方向に移動し、妨害の規模を拡大します。
ランサムウェアからOT 、IoT 環境を保護するためには、強力なセグメンテーション、ユーザートレーニング、プロアクティブなサイバー衛生プログラム、多要素認証、継続的に更新されるランサムウェアの使用などのサイバーセキュリティのベストプラクティスを考慮する必要があります。 threat intelligenceを考慮する必要がある。
