Cyber risk resources
What is Karma Ransomware?

Karma ランサムウェアとは?

それは何ですか?

2021 年 6 月末に最初に発見された Karma ランサムウェアは、比較的新しいマルウェアです。 SentinelOne の研究者は、「Eugene」という名前で知られる個々の開発者が Karma を急速に更新し、最先端のランサムウェア技術に継続的に適応させていることを発見しました。ダーク Web フォーラムでの Karma Site_admin からのコメント活動の欠如に基づいて、影響を受けた企業が要求された身代金を支払った可能性が高いです。

誰が危険にさらされていますか?

Karma ランサムウェアは、特定の業界を標的にすることなく、さまざまなセクターのさまざまな組織を標的にしていることが確認されています。研究者によると、2021 年 6 月 18 日から 2021 年 6 月 25 日の間に、少なくとも 8 社の企業がカルマの影響を受けています。これまでのところ、企業データの漏洩はありません。このことから、被害者は身代金を支払ったか、データ漏洩を防ぐために支払いの交渉を行っていると推測されます。

ランサムウェアの 8 つの同時バージョンはそれぞれ、最新のランサムウェア技術に対応するために改善され、急速に進化しているようです。この進化のペースは、開発者である「Eugene」が非常に熟練しており、被害者を慎重に選択して最も脆弱な人物を標的にしていることを示唆しています。

カルマはどのように機能しますか?

Karma ランサムウェアは、ファイルとシステムを暗号化することで、組織のデータへのアクセスを防ぎます。これは、次の暗号化プロセスによって行われます。

  1. ランダムChacha20キーを生成

  2. Chacha20でファイルを暗号化

  3. ハードコードされた ECC 公開鍵で Chacha20 鍵を暗号化する

  4. 暗号化されたファイルに暗号化されたキーを追加します

  5. 「KARMA」を追加

ファイルとデータが Karma によって暗号化されると、標的とされた組織には、情報が販売されたり、ダーク Web に公開されたりするのを防ぐために身代金を支払う方法についての指示が与えられます。

どうすれば身を守ることができますか?

SentinelOne のパートナーによって、実行可能な項目のリストが推奨されています。これらには以下が含まれます:

  • アプリのダウンロードとインストール、強力なパスワードの選択、他の個人の Web サイトにパスワードを公開しないことに関するベスト プラクティスなど、フィッシング攻撃に関するスタッフの認識を高める。

  • オフライン バックアップの作成。

  • ネットワーク サブシステムを分離し、それぞれに独自のファイアウォールとゲートウェイを確保する。

  • 大きなファイルのアップロードの監視。

  • 電子メール セキュリティのベスト プラクティスを採用し、悪意のあるファイル タイプ (EXE、VBS、XLS とマクロ) を除外し、ローカル サンドボックスで実行します。

  • ランサムウェア攻撃の影響を受けた組織は、すぐに Blackpanda の専門的なランサムウェア対応および交渉の専門家に連絡する必要があります。

1. より強力なパスワード:

これまでに発生した最も重大なランサムウェア攻撃の多くは、ブルート フォース攻撃やダーク Web でのデータ侵害の販売を通じて取得された単純なパスワードが原因でした。すべての従業員が、名前、住所、誕生日などの個人を特定できる情報とは関係のない記号、数字、大文字/小文字を含むロングテール パスワードを使用するようにします。

2. 多要素認証を有効にします。

システム内のすべてのアクセス ポイントに MFA が必要であることを確認します。これにより、セキュリティのレイヤーが追加され、ブルート フォース攻撃がデータにアクセスできる可能性が減少します。

3. 最小権限の原則を遵守します。

最小特権の原則とは、ユーザー、プログラム、またはプロセスは、その機能を実行するために必要な最小限の特権のみを持つべきであるという考えです。最小特権の原則は、必要なジョブを実行するのに十分なアクセスのみを許可することで機能します。 IT 環境では、最小特権の原則を順守することで、攻撃者が低レベルのユーザー アカウント、デバイス、またはアプリケーションを侵害して、重要なシステムや機密データにアクセスするリスクを軽減します。

4.古いユーザー アカウントとパスワードを一掃します。

現在のユーザーを一掃して監査し、重要なインフラストラクチャにアクセスできる古いユーザー名とパスワードを削除します。

5. すべてのソフトウェアとセキュリティ パッチを更新します。

ソフトウェアおよびセキュリティ パートナーは、ハッキング テクノロジの日々の進化に対応するために、常にソフトウェアを更新しています。更新プログラムとパッチが利用可能になったときに適用することは、組織にとって重要です。

6. システムとデータをオフラインでバックアップします。

強力で頻繁なバックアップを採用して、攻撃が発生した場合に重要なファイルとシステムを回復できるようにします。

7. エンドポイントの検出と対応 (EDR) ソリューションを実装します。

EDR システムは、システム内の脅威を検出するのに役立ち、可能な限り迅速に対応できるようにします。 SentinelOneなどの EDR ソリューションは、ランサムウェア攻撃やその他の脅威から環境をより適切に保護できます。

8. リスク移転ソリューションとサイバー IR 計画を整備する

洗練されたランサムウェアは、時代遅れのサイバー防御システムが提供するアンチウイルス保護やファイアウォールをすり抜けることができます。適切な IR (インシデント対応) 計画を策定し、定期的な侵害評価を実施し、包括的なサイバー保険を適用することで、組織はサイバー環境で絶えず進化する脅威に最善の方法で対処することができます。