重要な産業組織は7月も引き続きランサムウェア攻撃の被害に遭っており、専門家は犯人らが法執行機関が介入しないと確信を深めていると指摘している。
NCCグループは本日、先月犯罪者が主張した395件のランサムウェア攻撃のうち、3分の1以上(125件、34%)が重要な産業組織を標的としていたと発表した。同社の統計によると、2021年以降、ランサムウェアの標的として最も多かったのは産業セクターである。
「CNIに属する組織は社会に重要なサービスを提供しているため、貴重な標的となっている。ランサムウェアの攻撃者は、これらの標的の事業継続の必要性を利用して、支払いを迫る」と研究者らの報告書は述べている。
さらに、運用技術とITの相互接続性が高まったことにより攻撃対象領域が拡大し、ランサムウェア攻撃を容易にする潜在的な侵入ポイントの数が増えています。
昨年の情報セキュリティ関連ニュースをご覧になった方は、Change HealthcareやSynnovisといった企業で起きた数々の大惨事を考えると、医療業界が最多の攻撃対象になるだろうと思われるかもしれません。しかし、実際には製造業が標的にされる可能性がはるかに高く、次に大きな打撃を受けた景気循環型消費財セクターの約3倍の攻撃件数を記録しています。
コロニアル・パイプラインへの攻撃後に法執行機関がダークサイドに介入したことから、重要な分野のプロバイダーは、つい最近まで多くのランサムウェア犯罪者から立ち入り禁止とみなされていました。
WithSecureが本日発表した2024年上半期の最新脅威レポートで指摘されているように、犯罪者にはダークサイドと同様の圧力を米国当局から受けることを恐れ、決して踏み越えようとしない境界線があると一般的に考えられていました。例えば、一部のグループは二度と病院を標的にしないと誓いましたが、それも長くは続きませんでした。
しかし、WithSecureによると、その確信は既に昨年から薄れつつあるという。過去1年間に複数の大規模なシステム停止事件が発生したにもかかわらず、犯罪者はもはや最も危険な標的を狙うことに何の躊躇も抱いていない。
これらの攻撃、特にLockBitとALPHVの攻撃は、他のグループの勢いを増しました。例えば、MedusaはLockBitが陥落するまで、リークブログに1ヶ月で20人以上の被害者を投稿したことはありませんでした。
同様に、Qilin、Hunters International、RansomHub など、基本的に他のすべてのグループも、過去数年間の 2 つのランサムウェアの巨人が閉鎖されて以来、増加した数値を記録しています。
やや不可解なことに、他のすべてのグループが法執行機関の行動から恩恵を受けているにもかかわらず、被害届の受理件数は前年比で減少しており、直近の四半期でも減少しています。これは、反撃が期待通りの効果を上げていることを示唆しています。確かに効果はゆっくりと現れていますが、正しい方向に進んでいるように見えます。
「法執行機関の行動がランサムウェアのエコシステムに大きな影響を与えたことはほぼ確実です」とウィズセキュアは述べています。「現時点では長期的な効果について結論を出すのは時期尚早ですが、短期的には顕著でプラスの影響が出ています。」
NCCグループは2024年半ばにかけて同様の減少傾向を確認しましたが、それが続くかどうかは不透明です。7月のランサムウェア被害件数は395件で、6月(329件)と比較して20%増加しましたが、それでも2月から5月までの月と比べると大幅に減少しています。
2023年と2024年の月別ランサムウェア攻撃記録。NCCグループ提供。クリックして拡大
NCCグループは「この増加が上昇傾向の始まりを反映するものかどうかはまだ分からないが、われわれは今後もこうした動きを監視し続ける」と述べた。
悪意のある人物はインフォスティーラーに固執する
昨年確立された、ランサムウェアの犯人がインフォスティーラーマルウェアをより大規模に使用しているという傾向は、2024年まで続くだろうと研究者らは指摘した。
- RansomHub 関連の EDR キルマルウェアが実際に発見される
- サイバー犯罪現場にマッド・リベレーター恐喝集団が出現
- エンゾ・バイオケム、ランサムウェア被害につながった劣悪なセキュリティ対策で450万ドルの賠償命令
- 2024年の攻撃の50%以上を6つのランサムウェア集団が担う
IBM X-Force は、2023 年にインフォスティーラーの使用が大幅に増加したことに気づきました。この年は多くの新しいインフォスティーラーが登場した年であり、その後、有効な認証情報を使用して実行される攻撃が急増しました。
SpyCloudの昨年の調査によると、調査対象となった2,613件のランサムウェア事例のうち、30%は初期段階でインフォスティーラー型マルウェアによって収集された認証情報を利用していた。そのうち4分の3以上(76%)は、LockBitがソースコードの購入を試みていたとみられるRacoon Stealerによるものだった。
初期アクセス ブローカー (IAB) は、他の活動の中でも、これらの認証情報の取引で重要な役割を果たしており、多くの場合、インフォスティーラーを最も悪用するタイプの犯罪者です。
NCCグループは、「[IAB]はランサムウェア攻撃を容易にし、これらのグループが初期アクセスを容易にすることよりも、仲間の発見とマルウェアの改良に集中できるようにします」と述べた。
企業リスクの観点から見ると、インフォスティーラーが企業環境への初期アクセスにおいて重要な役割を果たしていることが分かっています。例えば、従業員が仕事用のノートパソコンで画像編集ソフトウェアを検索している際に、SEOポイズニングやマルバタイジングによってトロイの木馬化されたアプリケーションをダウンロードすることがあります。これらのアプリケーションには、通常、インフォスティーラーの機能も含まれています。このアプリケーションは、システム、ネットワーク、およびユーザー情報を抽出し、後に販売されたり、ユーザーに対する追加攻撃(標的型フィッシングなど)に利用されたりする可能性があります。
「エコシステム全体は初期アクセスブローカーとして知られており、インフォスティーラーは情報や有効な認証情報を収集する手段として機能し、ランサムウェアオペレーターなどの他の脅威アクターがブラウザセッションのハイジャックや有効な企業アカウントへの接続などに利用できるようになります。」®
