世界は歓喜しています。JBSとKaseyaという史上最大級のランサムウェア攻撃を行ったロシアのサイバーギャングがオフラインになったのです。本当の問題は、どのくらいの期間かということです。多くの人は、アメリカかロシアの政治家によってオフラインにされたと考えています。Kaseyaへの攻撃がアメリカとロシアの政府の間にどれだけの緊張をもたらしたかを考えると、本当かもしれません。ですが、彼らは、おそらく別の名前で戻ってくるでしょう。また、彼らは同じコードの大部分を使い続けるでしょう。REvilが以前Sodinokibiとして知られていて、そのコードの大部分を再利用していたのと似ています。
REvilは戻ってくる
サイバーギャングは何が効果的であるかを知っており、ランサムウェアの脅威が深刻さを増している中で、今のゲームから抜け出すことはできないでしょう。あるいは、彼らは単にタイムアウトをしただけだと考えるのが妥当でしょう。それが強制されたものであろうとなかろうと、本当に重要ではありません。重要なのは、彼らがこの時間を使ってビジネスインフラを再構築しているということです。
多くの人は、サイバー犯罪をビジネスと見なしていないかもしれませんが、これは違法ビジネスです。彼らのビジネスモデルは一般的なものと同じで、利益が出ればビジネスは継続されます。ランサムウェアの支払い額は増え続けています。さらに、サイバー犯罪者は、被害者のデータを盗み出して暗号化することで、継続的な収入モデルを構築しています。これにより、サイバー犯罪者は被害者から定期的にお金を搾取することができます。被害者が、クライアント、患者、顧客のデータをダークウェブに載せないための月額、四半期、または年額の料金を支払わなければ、データが流出してしまいます。これは、サイバー犯罪を新たなレベルに引き上げるものです。これを知っていて、なぜ最大のサイバーギャングの1つが帽子を脱いで家に帰るのでしょうか?そうではありません。彼らはこの時間を使って再構築し、将来の計画を立てているのです。
世界はREvilがオフラインになったことを喜んでいるかもしれないが、彼らが永久にいなくなってしまったと考えるのは単純なことだろう。
REvilがこの時間を使って再構築しているように、組織はセキュリティスタックに関しても同じことをすべきです。現在どのような方法をとっているかを再評価し、アプリケーション・ホワイトリストの層が含まれていることを確認してください。それができなければ、企業は次の犠牲者になる可能性があります。