The Truth about Ransomware: It's not Complicated!

  • Webcast Scheduled to Air Thursday, 18 Nov 2021 11:00AM SST (18 Nov 2021 03:00 UTC)
  • Speakers: Rob Lee, Ryan Chapman

Thursday, 18 November2021 @ 12:00 PM JST / KST

The threat of ransomware now permeates our daily computing lives. News stories of attacks have become ubiquitous. While media outlets often portray ransomware attacks as advanced operations carried out by highly skilled threat actors, this often is not the case. In fact, the opposite is true -- Many ransomware attacks are opportunistic and leverage insecure configurations to enter an environment. These groups are not stealthy, in fact they are often quite loud. For example, most ransomware attacks involve multiple groups including initial access brokers (IABs), paid "pentester" affiliates, the ransomware malware authors, money mules, and more. The bulk of IABs and third-party affiliates are more akin to thieves who test door handles to find an opportunity vs. those who slink around in the shadows and cut holes in glass to enter buildings. Please join this talk so that we can discuss how to keep these groups out, how to detect them once they're in your network, and how to respond should the worst-case scenario occur. Thwarting ransomware isn't rocket science, it just takes awareness and diligence, so let's push to ensure we're all ready for what's ahead.

Japanese Translation

Title: ランサムウェアの真実:複雑ではない!
Date: 11月18日(木)12:00 日本時間

Abstract:
ランサムウェアの脅威は、コンピュータが欠かせなくなった私たちの生活に浸透してきています。実際に、ランサムウェアによる攻撃のニュースが毎日のように報道されています。メディアは、ランサムウェアの攻撃を、高度な技術を持った攻撃者による高度な不正操作であるかのように伝えていますが、実際にはそうではありません。ランサムウェアを用いた攻撃の多くは、十分なセキュリティ対策が行われていない環境に容易に侵入します。このとき、攻撃が見つけられないようにこっそりと操作するということもなく、むしろ大量の痕跡を残しながら攻撃してくることが多いのです。こうしたランサムウェアによる攻撃には、様々なグループが関わるようになってきています。初期アクセスブローカー(IAB:Initial Access Brokers)や、有償で攻撃を請け負うペネトレーションテスター、ランサムウェアの開発者や、マネーミュール(犯罪と知らずに不正資金の送金を代行し、マネーロンダリングに加担してしまう)などが挙げられます。今回のWebcastでは、こうしたグループから侵入を防ぐ方法、ネットワークに侵入された場合の検知方法、そして最悪の事態が発生した場合の対応方法について議論します。ぜひご参加ください。

Presenter:
Ryan Chapman: BlackBerry社のSecurity Services TeamでPrincipal Incident Response Consultantを担当しているRyan Chapman氏は、SOCやCIRTでの経験を持つDigital Forensics & Incident Response(DFIR)の専門家です。RyanはSANS FOR610のインストラクターを務め、ランサムウェアベースの新コース「FOR528: Ransomware for Incident Responders」を開発しました。

Ryanは様々な種類の調査や技術的な対応の専門家です。例えば、ネットワークアクティビティの分析、ホストやネットワークのIOCの調査、ログ集計ツールの解析、パケットキャプチャの調査、マルウェアの分析、ホストやネットワークのフォレンジックを必要とするインシデントなどを扱っています。

Rob Lee: Rob Lee氏は、SANS Instituteのチーフカリキュラムディレクター兼ファカルティリーダーであると共に、情報セキュリティ、インシデントレスポンス、スレットハンティング、そしてデジタルフォレンジックを専門とするコンサルティング事業も行っています。デジタルフォレンジックや脆弱性の発見、侵入検知やインシデントレスポンスなどの分野で20年以上の経験を持ち、「DFIR(Digital Forensics and Incident Response)のゴッドファーザー」としても知られています。「Know Your Enemy, 2nd Edition」の共著者であり、SANSでは「FOR500:Windows Forensic Analysis」と「FOR508:Windows Forensic Analysis」の開発にも携わっています。

Korean Translation

Title: 랜섬웨어의 진실: 복잡하지 않습니다!
Date: 11월 18일(목)12:00 (한국시간)

Abstract:
랜섬웨어 위협은 컴퓨터를 항상 사용하는 우리의 삶에 침투 해오고 있습니다. 랜섬웨어 공격 관련 뉴스가 매일 같이 보도되고 있으며, 종종 언론 매체는 랜섬웨어 공격을 고급기술을 가진 공격자에 의한 고도의 조작 인 것처럼 전하고 있지만 실제로는 그렇지 않은 경우가 많습니다. 사실, 그 정반대의 경우가 더욱 많습니다. 많은 랜섬웨어 공격은 기회주의적이며, 안전하지 않은 설정을 이용해 환경에 침투합니다. 이때, 그룹들은 은밀한 공격보단, 많은 흔적을 남기면서 공격 해 옵니다. 이러한 랜섬웨어 공격에는 다양한 그룹이 관여하고 있습니다. 예를 들어 랜섬웨어 공격에는 최초 접근 브로커(IAB), 페이드 침투 테스터, 랜섬웨어 및 멀웨어 저자, 머니 뮬 등이 있습니다. 이번 웹케스트에서는 이러한 그룹의 침입을 방지하는 방법, 네트워크에 침입 한 경우 그 침입자를 감지 할 수 있는 방법, 또한 최악의 사태 발생시 이에 대응 방법에 대하여 논의 합니다. 랜섬웨어 공격을저지하는 것은 생각보다 어렵지 않습니다. 관심과 근면함으로, 다 같이 앞으로 일어날 일에 함께 준비 합시다.

발표자: Rob Lee

Ryan Chapman

발표자 약력:

Rob Lee님은 SANS의 지도교사 및 수석 커리큘럼 이사 입니다. 또한 정보 보안, 사고 대응, 위협 사냥 및 디지털 포렌식을 전문으로 하는 컨설팅 비지니스를 운영하고 있습니다. 디지털 포렌식, 취약점 공격 및 익스플로잇 탐색, 침입 탐지/방지, 사고 대응 분야에서 20년 이상의 경험을 축적한 Rob은 “The Godfather of DFIR(Forensics and Incident Response) - DFIR의 대부”로 알려져 있습니다. "Know Your Enemy, 2nd Edition」의 공동 저자이며, SANS의 "FOR500 : Windows Forensic Analysis '와 FOR508: Advanced Incident Response, Threat Hunting, and Digital Forensics.' 코스의 공동저자 입니다.

Ryan Chapman님은BlackBerry 사의 Principal Incident Response 컨설턴트 입니다. 또한 그는 디지털 포렌식 및 사고 대응 (DFIR)분야에서 10년 이상의 경험을 가지고 있습니다. 현재 그는 SANS의 FOR610: Reverse Engineering Malware 과정 강사이며, 2021년 말 새롭게 소개되는 SANS의 랜섬웨어 관련 FOR528: Ransomware for Incident Responders 코스를 저술하였습니다. Ryan은 수정을 통한 인셉션을 핸들링 하는 Security Operations Center 및 Cyber Incident Response Team에서 일해왔습니다. 그의 블루팀 주요 업적들로는 패킷 캡처를 통한 선별, 도메인 및 IP조사, 로그 수집기 유틸리티를 통한 사냥, 맬웨어 분석, 호스트 및 네트워크 포렌식 수행등을 포함합니다.