断続的な暗号化戦術

ランサムウェア攻撃をしかけてくるグループは複数あります。
それらのいくつかがすでに新しい傾向を示していることがわかってきています。
攻撃時間の短縮です。

ランサムウェア攻撃は対象システムに侵入し、システムの情報を収集し、調査を終えると一気にシステムを暗号化します。
暗号化が完了すると脅迫文を配置し、攻撃の段階が完了します。
攻撃者の視点で考えると、いかにして素早く攻撃を完了させるかが成功の鍵となります。
システムの動きを監視されていると想定すると、もっとも攻撃の発生を検出されやすいのは暗号化を実施している時間帯です。
従来は攻撃に気が付いて対処されるのを回避する目的で暗号化処理の時間を週末や夜間などに設定することも多かったと思います。

週末や夜間に暗号化を実施する場合そのときに動いているシステムしか対象にできませんから、重要なサーバなどに限定して攻撃することになりそうです。
しかし仮に十分に短い時間で暗号化が完了できるとするとどうでしょう。
十分に短い時間で暗号化が完了できる場合、なにも暗号化処理を週末や夜間に実施する必要がなくなります。
平日日中時間帯に暗号化を開始するとどうなるでしょうか。
重要なサーバに加えて、管理者端末、一般社員の端末、システムを構成するすべての端末を暗号化してしまえるかもしれません。
復旧作業の困難さが格段に上がってしまうことが考えられます。

こんなことになってしまうことを想像させる傾向をいくつかのランサムウェアグループの活動に見ることができます。
断続的な暗号化戦術です。

対象のファイルの全体を暗号化するのではなく、その一部を暗号化することにすれば暗号化に必要な時間を減らすことができるというものです。
ランサムウェアグループによってその具体的な手法は異なりますが、いくつものグループが断続的な暗号化に移行していっています。
対象ファイルの先頭のXXXMBを暗号化しYYYMBをそのまま読み読み飛ばすということを繰り返す、というような具合です。

もともとランサムウェアグループによって暗号化に必要な時間は大きく乖離していました。
時間を多く必要とするランサムウェアの中には、暗号化処理に2時間くらいが必要というものもありました。
が、従来から6分程度の短い時間しか必要としないランサムウェアもありました。
この断続的な暗号化を実施するという戦術が多くのランサムウェアグループに広がるとどうなるでしょう。
場合によってはほんの数分でシステムを構成する全機器が暗号化処理を完了されてしまうということになる事態も考えられます。

脅威は大きくなることはあっても小さくなることはない感じがします。
継続的な対策の見直しが必要ということかもしれません。

参考記事（外部リンク）：Ransomware gangs switching to new intermittent encryption
tactic
www.bleepingcomputer.com/news/security/ransomware-gangs-switching-to-new-intermittent-encryption-tactic/