2016年第2四半期には、ランサムウェアがサイバー攻撃のリストのトップに

サイバー空間は、私たちの日常生活の不可欠な部分となっています。 デジタルトランスフォーメーションは、ホームユーザーおよび企業ユーザーに影響を与えています。 ネットワークに接続されているデバイスの数は増え続けています。



「デジタルホーム」や「BYOD」（Bring Your Own Device）などの概念はすでにデジタルユニバースの一部です。ますます多くのインターネットユーザーが自宅で仕事をしたり、個人用および職業用の両方で自分のデバイスを使用しています。 これは、セキュリティホールがますます増えることを意味します。

PandaLabsアンチウイルスラボによると 、四半期中に1,800万を超える新しいマルウェアサンプルが検出されました

トロイの木馬は、検出された脅威のリストで主導的な地位を維持しており、このカテゴリでの暗号化攻撃の数の増加を示しています。 毎日検出される新しい脅威の平均数は200,000です。この数字は、227,000サンプルの第1四半期よりもわずかに少なくなっています。 ランサムウェア攻撃に加えて、この四半期の他の攻撃のほとんどは、個人情報とユーザー登録データを盗むことを目的としていました。



モノのインターネットにも注目すべきブームがあります。 これは新たな攻撃を引き起こし、私たちの生活に深刻な影響を与える可能性があります。 たとえば、近い将来、サイバー攻撃により、盗難防止アラームがリモートで無効になり、エンジンが起動できるようになり、サイバー犯罪者が車を盗むことができるようになります。

毎日、携帯電話の脆弱性が増えています。 これらのセキュリティホールの結果として発生する問題のほとんどは、主にさまざまなハードウェアメーカーからの更新の欠如（または遅延）によるものであることを思い出してください。

暗号作成者

暗号作成者はサイバー犯罪者にとって巨大なビジネスであることを知っていますが、実際の規模を評価することは非常に困難です。 2015年に、米国司法省は、インターネット犯罪苦情センター（IC3）が暗号作成者による攻撃について2,500件の苦情を受け取ったという証拠を発表しました。



これらのマルウェアの被害者には、合計約2400万ドルが支払われました 。 暗号作成者は世界的な現象です。 この例の身代金の総額とこれらの悪意のあるプログラムが世界中で広まっていることを考慮すると、 暗号作成者の行為によるサイバー犯罪者の年間収入は数十億米ドルに達すると結論付けることができます。



振り返ってみると、医療施設に対する暗号化攻撃のさまざまなケースを思い出すことができます。

この四半期は、新しい被害者であるMedStar Healthから始まりました。 この非営利の医療組織は、数日にわたってシステムをシャットダウンせざるを得ないほど深刻な暗号化攻撃を受けました。



MedStar Healthの場合、システムに存在する脆弱性を悪用した標的型攻撃があったようです。 ただし、これらの攻撃のほとんどは、悪意のある電子メールの添付ファイルまたはハッキングされたWebサイトを使用して実行されます。 4月に遠隔操作玩具のメーカーであるMaisto Internationalで起こったこと：そのサイトへの訪問者は知らないうちに暗号化の被害者になりました。 ハッキングされたWebサイトは、有名なAnglerエクスプロイトスイートで訪問者を感染させました。 その目的は、ユーザーに人気のあるソフトウェア製品（フラッシュ、Javaなど）を識別し、インストールされたこれらのアプリケーションのさまざまな脆弱性を使用してコンピューターを打ち負かすことです。



ただし、Webサイトを介した攻撃が唯一の方法ではありません。 サイバー犯罪者は、悪意のある広告（悪意のある広告）として知られる別の一般的な戦術を使用します。







有名なブログperezhilton.comは最近、悪意のある広告の2つの攻撃の犠牲になりました。 ハッカーはAnglerエクスプロイトキットを使用して、毎日500,000人以上のユーザーに感染しました。

標的型攻撃は、システムの脆弱性を悪用します。 一般的な脅威：ハッキングされたサイトと悪意のある広告

この四半期に私たちが観察した暗号作成者の最も興味深いケースの1つは、スロベニアの会社で発生しました。



ITを担当する会社の従業員は、ネットワークがハッキングされたことを示すメールでロシアから手紙を受け取りました。 ロシアのサイバー犯罪者がネットワークをハッキングし、ネットワーク上のすべてのコンピューターで暗号化を実行する準備をしました。 スロベニアの会社が3日以内に9000ユーロ（ビットコイン）の身代金の支払いを拒否すると、暗号化プログラムが起動します。 企業ネットワークにアクセスできることを証明するために、企業の内部ネットワークに接続されているすべてのデバイスのリストを含むファイルを送信しました。



多くのランサムウェアの被害者は身代金の支払いを好みますが、これは盗まれた（暗号化された）データの返送を保証するものではありません。 5月、カンザス（米国）の循環器病院が暗号作成者に攻撃され、経営者は身代金を支払ってデータを返すことにしました。 その結果、送信されたパスワードが情報の一部のみを解読できることを知ってショックを受けました。 残りの情報を回復するために、ハッカーは2回目の支払いを要求しました。 しかし、病院は二度目の支払いを拒否しました。



NASCARに参加しているCSLFRプロフェッショナルチームは、3台のPCで暗号化攻撃を目撃しました。 彼は300万ドルと推定される情報を暗号化しました。 この場合、CSFLRも身代金（500ドル）を支払いましたが、幸いなことに、この場合、すべての情報を回復する機会がありました。

身代金を支払う価値はありますか？

被害者がサイバー犯罪者に身代金を支払うと、攻撃の有効性が高まります。

攻撃が成功して利益を上げた場合、ハッカーはさらに多くのユーザーを攻撃します。 長期的には、これらの攻撃は私たち全員に害を及ぼす可能性があります。

情報回復のための償還金は犯罪行為にさらに貢献します

支払うか支払わないかは論点です。 4月、FBIの「サイバー部門」のアシスタントディレクターであるジェームストレーナーは、自分の公開アドレスでの立場を明確に述べました。

「身代金の支払いは、組織がデータを受け取ることを保証するものではありません。身代金の支払い後に組織が復号化キーを一度も受け取っていない場合があります。 身代金を支払うことは、既存のサイバー犯罪者がより多くの組織を攻撃することを奨励するだけでなく、他のサイバー犯罪者がそのような違法行為に従事するインセンティブを提供します。 そして最後に、身代金を支払うことにより、組織は犯罪に関連する他の種類の違法活動の資金を援助することができます。」

悪意のある電子メールの進化

これらの攻撃の出発点は、悪意のある広告やハッキングされたサイトの使用だけではありません。 このような攻撃の大部分は、アカウントまたは通知を装った電子メールから始まります。

このようなメール攻撃の1つはポーランドとスペインで発生し、サイバー犯罪者はこれらの国で活動する有名なエネルギー会社になりすました。



犯罪者は、添付ファイルを含まない悪意のある手紙を被害者に送りました。手紙のテキストには、「請求書の解読」を表示するためのリンクを含む請求書が含まれていました。



このリンクをクリックすると、ユーザーは偽のWebサイトにリダイレクトされました。これは、実際のエネルギー会社のWebサイトの正確なコピーです。







そこでユーザーは「アカウント」をダウンロードできます。 ユーザーが「アカウント」をダウンロードして開いた場合、彼のコンピューターは暗号化プログラムに感染していました。



もしチャンスがあったら、「あなたに目を向ける」サイバー犯罪者に何を言いますか？

暗号作成者の進化を目撃しました。 通常、被害者には身代金の支払い方法に関する詳細な指示が提供されます。 暗号化機能の一部のバリエーション（たとえば、ジグソーファミリーの新しいバージョン）では、ハッカーはさらに進んで、ユーザーがリアルタイムでランサムウェアとチャットし、身代金の支払い条件について話し合うことができるチャットサービスを提供しました。



サイバー犯罪者と話をして、盗まれた情報に対する身代金の支払いについて話し合うことができます。



前四半期の最も独創的な暗号化攻撃の1つ（そして最も危険な攻撃！）はロシアで発生しました。

マルウェアはメールで送信されたが、実際には実行されなかったため、配布方法における独自性。 ロシア最大のソフトウェアメーカー（ロシアおよび旧ソ連の100万を超える企業ユーザー）のプログラムの特別な更新プログラムとして作成され、プログラムがコンピューターにインストールされている場合にのみ機能しました。



ユーザーにプログラムの更新を強制し、ユーザーがこれを行うと、マルウェアはプログラムデータベースに接続し、その中のカウンターパーティを検索し、見つかったメールアドレスに自分自身を送信しました。 同時に、彼はコンピューターを暗号化ツール、暗号化されたファイルに感染させ、その後、通常のように身代金を要求しました。

サイバー犯罪

これをさまざまな方法で行う方法を見てきました。暗号作成者を介して、人や企業から情報を盗み出したり、特定の銀行に対する標的型攻撃の助けを借りたりすることもあります。 最近の数か月で、これらのケースは非常に深刻になり、調査すると、企業（慈善団体や金融会社からポルノサイトや投票サイトに至るまで）にどのような影響があるかがわかります。警察も苦しんでいます。 誰もが危険にさらされています。



情報盗難

ペーパーストリートメディアネットワークが所有するポルノビデオを配信するWebサイトであるTeam Skeetは、最近、237,000のユーザーデータを盗んだ攻撃に耐えました。 さらに、ユーザーの登録データとメールアドレスだけでなく、実際の住所も盗まれました。 その後、このデータはオンラインでユーザー1人あたり400ドルで販売され、合計で約9,500万ドルになります。 しかし、確かに犯罪者はデータの量に応じて良い割引を提供しました。



暗号作成者と人や企業からのデータ盗難は、サイバー犯罪の戦術です。



慈善団体であるNational Childbirth Trust（NCT、ロンドン）は、4月7日にセキュリティ違反に直面しました。 攻撃中に、ログイン、暗号化されたパスワード、メールアドレスなど、15,085人のユーザーのデータが盗まれました。



有名な機器メーカーであるエイサーは、34,500人の顧客が盗まれたオンラインストアへの攻撃の被害者でもありました。 最悪の事態は、彼らのサイトが1年間（2015年5月から2016年4月まで）ハッキングされたということです。



6月、「TheDarkOverlord」という愛称のハッカーが、アメリカの3つの異なる企業から患者データを売りに出しました。 合計で、TheDarkOverlordは650,000人以上のユーザーから盗まれたデータに対して700,000ドルを要求しました。 すぐに、同じ男性が750ビットコイン（約50万米ドル）で、ある保険医療会社の930万人の顧客のデータを販売しようとしました。



スペインでは、匿名が5,000人の国家警察官の個人データリストを公開しています。 データは警察サーバーから取得されたのではなく、警察官に社会保障を提供する組織のWebサイトへの攻撃の結果として取得されました。



サイバー犯罪の調査に関しては、Chris Vickeryという名前に言及することで鐘を鳴らさなければなりません。 このセキュリティスペシャリストは、誰かがメキシコに9340万人の投票者レコードを含むデータベースを残したAmazonのサーバーを見つけました。郵送先住所、正式な識別子など。Vickeryはこれをメキシコ当局に報告し、データベースは破壊されました。 誰かがデータを盗み、一時的なストレージにAmazonクラウドを使用したと想定できます。



Chris Vickeryは、別の情報盗難事件も発見しました。 この場合、beautifulpeople.comから110万人のユーザーが盗まれました。 Vickeryがサイトの所有者にこれを報告したという事実にもかかわらず、犯罪者はこのデータベースを闇市場で販売しました。



インターネット上のすべての人に危害を加えることを主な目的とする犯罪者や組織に加えて、私たちに対して働くことができる非常に正当なツールもあります。



人気のあるTeamViewerリモートアクセスユーティリティの場合、コンピューターがリモートアクセス用に開かれている膨大な数のユーザーのデータが盗まれました。 犠牲者が非常に多いため、最初に考えたのは、誰かがTeamViewerに入り、その後の不正アクセスのために彼らの拠点を奪ったことです。 その後、盗まれた情報はユーザー自身からのものであり、同じ登録データを使用してさまざまなサービスに接続することが判明しました。







これは広範囲にわたるハッカーの戦術です。1つのサイトから登録データを盗んだ場合、ユーザー名とパスワードの同じ組み合わせを使用して他のサービスにアクセスしようとします。 彼らは、多くの人々が異なるウェブサイトで同じログイン情報を使用していることを知っています。



この場合、ハッカーは被害者のPCにアクセスするとすぐに、PayPalアカウントに接続してすべてのお金を盗みました。



PoS端末でのインシデントの成長

広く普及している一般的な盗難のもう1つの方法は、販売店の端末を使用することです。 PoS端末は、そのような端末を介して銀行カードからデータを盗むように特別に設計された特定の悪意のある感染の影響を受けます。



ラスベガス（米国）のハードロックホテル＆カジノで見られるように、ほとんどの場合、ホテルが犠牲になります。

PoS端末が2015年10月から2016年3月に感染したことが知られており、この間にこの組織で使用された銀行カードのデータが盗まれました。

このような事件は世界中で起こります。 最近、スペインの高級ホテルチェーンが攻撃されました。 幸いなことに、PoS端末に到達することなく攻撃は時間通りに停止されたため、強盗は防止されました。 この攻撃は、このホテルチェーン向けに特別に設計されました。 外部接続を許可し、検出されないままにするために、ハッカーはアフリカの国からの被害者の1人の名前でドメインを登録しました。



ホテル、レストラン、および企業のPoS端末は、ハッカーにとってより魅力的になります



しかし、「射線」にはPoS端​​末とホテルだけではありませんでした。 サイバー犯罪者は、銀行カードの詳細を盗むためにレストランに注意を向けています。 人気のWendyのファーストフードチェーンに属する1000以上の施設が、PoSのマルウェアの被害者になっています。 犯罪者は、ウェンディの顧客の銀行カード情報を抽出することに成功しました。

Pandalabsアンチウイルスラボで、米国の200以上のレストランに感染する既知のマルウェア（PunkeyPOS）を起動する攻撃を検出しました。





写真：ウェンディのレストランの1つの画像。 これは、この機関が感染しているという意味ではありません。





金融機関も需要があります。

どのような盗難が最も効果的ですか？ もちろん、これは銀行自体の強盗ですが、他の機関を強奪するよりもはるかに複雑です。 しかし...







バングラデシュの中央銀行が攻撃されたことが判明しました。その結果、ハッカーは10億ドル以上を盗むことができました。 幸いなことに、銀行がこれを知ったとき、犯罪者は約8100万ドルを得ることができたものの、膨大な数の転送をブロックすることができました。



その後、さらに2つの類似したケースが発生しました。1つはベトナムの銀行で、もう1つはエクアドルで発生しました。

サイバー犯罪者の捜索が非常に困難で時間がかかる場合でも、結果を出すことができます。 4月、「パンチ」として知られ、Blackholdエクスプロイトキットの作者であるDmitry Fedotovは、ロシアで7年の刑を宣告されました。



27歳のロシア市民であるAlexander Paninは、米国で9.5年の刑を宣告されました。 Paninは、有名な銀行トロイの木馬SpyEyeの背後にいました。

ソーシャルネットワーク

ソーシャルネットワークについて言えば、第2四半期には、ほとんど常に間違った手に渡る個人情報盗難の無数のケースがありました。 以下は、最も人気のあるソーシャルネットワークです。

Linkedin

メールアドレスとパスワードのリストが公開された後、1億1700万人のLinkedInユーザーの安全性が侵害されました。 ハッキングは2012年に発生しましたが、完全なリストはまだ公開されていません。

これらのタイプの攻撃から身を守る最善の方法は、二要素認証を使用することです。 この場合、登録データの所有者が間違っていても、

アカウントに接続することはまだ不可能です。

Twitter

Twitterにアクセスするための3,200万のユーザー名とパスワードが10ビットコイン、つまり約6,000米ドルで売りに出されました。 このソーシャルネットワークは、このデータがサーバーから受信されたという噂を否定していますが。 実際、パスワードはプレーンテキストであり、そのほとんどはロシアのユーザーのものでした。 これは、フィッシング攻撃やトロイの木馬によって盗まれたことを示している可能性があります。

VKontakte

「ロシアのFacebook」は、メールアドレス、名前、実際の住所、電話番号、パスワードなど、1億人のユーザーからのデータの販売に直面していました。 この場合、LinkedInの場合と同じことが起こりました。それは、販売される前に盗まれたデータが盗まれたときです。

Instagram

セキュリティコンサルタントのArne SwinnenはInstagramで2,000万のアカウントをハッキングするセキュリティバグを発見しました。 この情報を報告した後、Facebook（Instagramの所有者）はボーナスプログラムの一環として彼に5,000ドルを支払いました。 さらに、これはこの四半期に発表された最大の賞ではありません。Facebookは10,000ドルの報酬を支払いました

フィンランド出身の10歳の子供。 このフィンランドの子供の天才は、Instagramアカウントのコメントを削除できるセキュリティバグを発見しました。

マイスペース

最近では非常に人気がなくなっていますが、それでも数百万人のユーザーに影響を与える可能性のある攻撃に対して脆弱です。 この事件は2013年に発生したが、今年の5月まで知られていない。 この攻撃では、ハッカーはユーザー名、パスワード、メールアドレスを盗みました。 3億6,000万を超えるアカウントが侵害されたと言われています。



数年間MySpaceに接続していなかったかもしれませんが、異なるサイトで同じ登録情報を使用することに慣れている場合は、今こそそれらを変更して二要素認証を有効にするときです。



信じられない場合は、Facebookの創設者であるMark Zuckerbergにお尋ねください。 Zuckerbergは、自分のTwitter、Pinterest、Instagramのアカウントが、OurMineと呼ばれるいたずらのグループによってハッキングされたことを目撃しました。



どうやら、LinkedInで使用されるパスワードはすべてのアカウントで同じであったため、OurMineがこれらすべてのアカウントにアクセスするというタスクを大幅に簡素化しました。



2つの重要なヒントに従ってください。2要素認証を使用し、異なるWebサイトで同じユーザー名とパスワードを使用しないでください。



さらに、複雑なパスワードを使用することが重要です。 Kore Logicの調査では、1億1700万のパスワードを分析し、ほとんどのユーザーが選択するパスワードが単純すぎることを示しています。 次の表に、最も一般的に使用される10個のパスワードを示します。







この点で、頻繁に使用されるパスワードを禁止するマイクロソフトの取り組みを称賛する必要があります。これは上記の表に記載されています。 他の人もそれに追随することを願っています。



Whatsappのスターは、情報セキュリティの優れた実践のもう1つの例です。 最も人気のあるインスタントメッセージングアプリケーションとその所有者であるFacebookは、このアプリケーションを介して送信されるすべてのメッセージを暗号化することにより、ユーザーのプライバシーを強化することを決定しました。

今後数か月で同様のアクションがFacebook Messengerで実装されます。

モバイルの脅威

Googleは、オペレーティングシステムのすべてのセキュリティホールを真剣に塞ぐことを決定したようです。 毎月の更新を使用して、新たに発見されたすべての脆弱性を排除し、5月に25件の脆弱性しか修正できませんでした（一部は非常に深刻で、リモートでコードが実行されました）。

これらの脆弱性はハッカーによって使用されたものではないと思われますが、Googleによる最大のアップデートでした...現在まで。



改善にもかかわらず、Androidエコシステムはセキュリティの問題のために揺れています。



間違いなく、Androidの最大の問題の1つは、更新が遅いことです。これは、さまざまなAndroidデバイスの各メーカーに大きく依存しています。 Googleによって直接制御される製品は、このような更新をほぼ瞬時に受信しますが（Nexus携帯電話やタブレットなど）、他のAndroidユーザーはパッチを受信するまで数か月待たなければなりません。 また、場合によっては、パッチがユーザーに届かないこともあります。



アップデートがないため、デバイスは既知のセキュリティ問題に対してより脆弱になります。 攻撃の数は絶えず増加しているため、これによりAndroidエコシステムが非常に危険になります。

モノのインターネット

最近、レポートのこのセクションでは、ハッキングされたマシンに関するニュースがほぼ常にあります。今日は、Mitsubishi Outlanderについてお話します。 このハイブリッドには独自のWi-Fiネットワークがあり、温度やその他のパラメーターを制御できるアプリケーションに接続します。



セキュリティの専門家であるKen Munroは、ブルートフォース攻撃を使用してWi-Fiネットワークのパスワードを計算しました。 ネットワークに侵入した場合、Munroは自動車を損傷した可能性があります（たとえば、電気モーターのバッテリーを完全に消費した）。 しかし、最も深刻なことは、彼が実際の犯罪者によって使用される可能性のある警報システムをリモートで無効にできることです。



ガートナーのコンサルティング会社は、モノのインターネットの安全性に関する興味深いレポートを公開しています。 このドキュメントでは、2020年までに、IoTデバイスが企業に対する攻撃の25％に関与すると予測しています。 2016年には、64億台のそのようなデバイスがネットワークに接続されると予想され（2015年よりも30％増加）、2018年には、そのようなデバイスの数は114億を超えると予測されています。



モノのインターネットのセキュリティのコストは増加し続けますが、下の表に示されている予測を考慮すると、それらは不十分である可能性があります。

サイバー戦争

昨年、私たちはハッキングチームがどのように完全に侵害されたかについて書きました。 彼女は世界の多くの国で政府や特別なサービス向けのハッカーソフトウェア（マルウェア）を販売することで世界的に有名です。 イタリアの新聞、Il Fatto Quotidianoがハッキングチームが輸出許可を失ったと報じた結果、彼らは見出しを打ちました。その結果、少なくとも通過することなく、EU外でプログラムを販売することはできません。長い官僚的手続き。







サイバー戦争について議論するとき、ほとんどの場合、さまざまな国が後援する可能性のある攻撃について話しますが、そのような攻撃を組織し実行する特定の役人の責任を証明する事実を見つけることは非常に困難です。



しかし、米国は攻撃を続け、Daesh（ISISとも呼ばれる）に対するサイバー攻撃を開始していることを認識しました。 米国国防長官ロバート・ワーククは次のように述べています。



「サイバー爆弾を投下しています。 これは以前にやったことがありません。 航空キャンペーンを実施しているように、サイバーキャンペーンが必要です。 私が持っているすべての機会を使いたいです。」

6月、韓国警察は北朝鮮からの攻撃を発表しました。 どうやら、攻撃は約1年前に始まり、組織や政府機関、国防省の請負業者に属する14万台のコンピューターに焦点が当てられたようです。 この攻撃は、今年2月にのみ発見されました。 警察によると、42,000以上の文書が盗まれ、そのうち95％は国防問題 、たとえばアメリカのF15軍用機の翼のレイアウトと仕様に関連していました 。





米国民主党全国委員会は、彼らのシステムが約1年前（おそらくそれ以上）にハッキングされたことを認めました。 彼らは、ハッカーがロシアの特別サービスに属していると確信しています。 攻撃者は、電子メール、チャットルーム、あらゆる種類の調査作業にアクセスできるようになりました。 研究部門に属するすべてのコンピューターはハッカーにアクセス可能であり、一部のファイルは盗まれました。

おわりに

情報やお金を盗むために使用される攻撃の数は増え続けています。 ユーザーは、登録データまたはアカウントの盗難に直面しており、多くの場合、直接攻撃されていません。 代わりに、彼らの情報は、さまざまな企業のハッキングされたネットワークから盗まれたデータベースで見つかりました。



さらに、一部のユーザーは他のサービスでパスワードを再利用するため盗難が容易になりますが、この問題はほとんどのサイトで利用可能な2要素認証によって簡単に解決できます。 別の可能性は、サービスプロバイダーがユーザーに引き受けさせることです

特定のセキュリティ対策。最近ではもはや信じられないように思えます。 利便性はセキュリティより優先されません。



暗号化攻撃は非常に複雑になりました。 ハッカーは大きな利益を上げます。 今後数か月で、このような攻撃が増加するでしょう。



もう1つの驚くべき傾向は、PoSシステムを介した銀行カードからのデータの盗難です。影響を受ける機関のほとんどは小規模企業（レストラン、バーなど）であり、ITセキュリティスペシャリストの専任チームはありません。 この盗まれた情報を闇市場で売って利益を上げることがどれほど簡単かを考えると、サイバー犯罪者はこの攻撃領域を開発するようです。