Case.6 慈善団体へのランサムウェア攻撃

業界: 非営利
侵入ポイント: 偽装電子メールに添付された悪意あるPDF
見かけ上の目的: 重要なシステムファイルを暗号化し、復号キーと引き換えに支払いを要求

Darktraceの検出結果:

  • ウクライナのサーバーはこの慈善団体のネットワークにとって特異なものでした。この団体の端末が世界のその地域のコンピューターに接触することは極めて稀だからです。
  • 受付係のコンピューターが取得したファイルも特異でした。Darktraceがインストールされて以来同様のプログラムをダウンロードした端末は他にありませんでした。
  • 受付係のコンピューターからのSMBリクエストの量はこのプロトコルを使ったそれまでの通信と比較して異例でした。
ランサムウェアによる攻撃はセキュリティチームが対処できるよりも素早い速度で展開します。しかしこのケースでは、ニューヨークにいるDarktraceのアナリストがこのコンピューターの動作の特異性はランサムウェアによる感染による可能性があると認識し、感染したコンピューターをオフラインにするようこの慈善団体にただちに連絡しました。
このランサムウェアはローカルファイルの暗号化までは行ったものの、SMBリクエストはほとんど成功せず、マルウェアはネットワーク内に拡散しなかったため大きな損害は発生しませんでした。