GWや夏季休暇など長期休暇中にランサムウェア被害に遭ったら 【LockBit2.0】

GWなど長期休暇中に増加するランサムウェア

今年のGWは昨年に比べコロナ禍のよる行動制限も少なくなり、

カレンダーの並びから10連休など長期休暇を取得する企業もあるかと思います。

ただ、毎年、GWや夏季休暇、年末年始休暇など長期休暇明けに、

ランサムウェア被害のご相談が増えます。

特にLockBitなど社内のサーバー、NASすべてを暗号化し、

更には詐取したサーバーデータをダークウェブ上に公開すると脅す、

二重脅迫という方法をとるランサムウェアが最近の主流となっています。

LockBitの被害範囲

LockBitの場合、社内のサーバー機がすべて同時に攻撃を受けます。

また、外付けHDDなどにバックアップを取得している場合、

そのバックアップデータやネットワーク上に接続されているNASのデータについても同時に暗号化されます。

その結果、社内の基幹システム、会計システム、共有フォルダなどありとあらゆる業務に支障をきたします。

また、詐取されたデータがダークウェブ上に公開されるとなると、

その被害範囲は自社だけでなく取引先や顧客全般にまで広がる可能性があります。

LockBitに感染する企業の特徴

LockBitに感染しやすい企業にはある傾向があります。

• ＩＴ担当者がいない、又は専任でない。
• 物理サーバーを複数台社内に設置している。
• 物理サーバーの運用を業者に任せきりにしている。
• 社員数が30名～100名規模
• VPNを利用している
• パスワード管理が徹底されていない

などの特徴があります。

特に危険なパターンとしては、

• Windows2008などサポート期間の終了したOSを使用している
• VPNのパスワードが単純
• 不用意にリモートデスクトップの機能を使用している

という3パターンがありますが、

昨年より流行しているEmotetというマルウェアにより、

ランサムウェアが呼び込まれるという事例も増加傾向にあります。

企業側としては、常に最新の情報を集め、自社に脆弱性が無いかを意識しないいけない時代に入っています。

UTMの導入は効果的だが万能ではない

ランサムウェアの対策として、以前よりUTMの導入が勧められてきました。

実際、UTMにより被害を防げたケースは多いと考えられますが、

残念ながら万能ではありません。

特にVPNのパスワードを突破されたケースなどでは、

社内にハッカーがPCを持ち込み、素知らぬ顔でサーバーへアクセスしているのと同じ状況が発生します。

正規のルートで侵入してくるわけですから、

いかにUTMといえでも万能ではありえないのです。

LockBit感染時の対応

LockBit感染時には二重のリスクが発生しています。

１．データを消失したことによる業務への影響

２．詐取されたデータが公開されることによる被害

という２つです。

まずは被害の拡大を防ぐためにネットワークの切断と

被害範囲の確認が必要です。

各サーバー、PC、NASからLANケーブルを外し、

それぞれの機械に暗号化されたファイルが無いか、

マルウェアへの感染がないかなどを調査する必要があります。

次にデータを失ったことによる影響の想定、業務継続が可能かどうか？と

詐取されたデータを公開された場合に想定される被害の範囲を

検討する必要があります。

もし、業務継続に影響がなく、データが公開された場合も被害は軽微だという場合は、

感染の疑いのある端末をすべて初期化し、

再設定することにより業務を再開できます。

しかし、業務継続に支障が出る場合やデータが公開されることによる被害が大きい場合は、

その対応を検討する必要があります。

データ復元を業者へ依頼する場合もあるかと思います。

ただ、データ復旧業者の中にはかなりあくどい手法をとる会社もありますので、

第三者に助言を求めるなど注意が必要かと思われます。