ランサムウェアグループClopは2023年7月に発生した全てのランサムウェア攻撃の3分の1に関与しているという。
この記事は会員限定です。会員登録すると全てご覧いただけます。
複数の脅威インテリジェンスレポートによると、ランサムウェアグループClopは2023年7月に発生した全てのランサムウェア攻撃の3分の1に関与している。Clopは金銭を目的に活動しており、2023年の夏に最も多くのランサムウェア攻撃を実行した。
ファイル転送サービス「MOVEit」のゼロデイ脆弱(ぜいじゃく)性を悪用した大量のランサムウェア攻撃を実行したことで(注1)、Clopはランサムウェア攻撃者のトップに躍り出た。
サイバーセキュリティ企業Emsisoftとこの分野に強みを持つ調査会社KonBriefing Researchが最新のデータを追跡したところ、ClopはMOVEitの脆弱性を利用したキャンペーンで、730以上の組織を侵害した(注2)(注3)(注4)。
NCC Groupによると、Clopは2023年7月に観測された502件のランサムウェア攻撃のうち171件に関与している(注5)。また、NCC Groupは2023年8月22日(現地時間)に「Clopの活動が、ランサムウェア攻撃の数を2023年6月から16%増加させた可能性が高い」と述べている。
Flashpointが2023年7月に観測した515件のランサムウェア攻撃のうち(注6)、Clopは169件の被害者に関与していた。FlashpointとNCC Groupによると、2023年7月のランサムウェア活動全体において、2番目に多くの攻撃を実施したLockBitと比較して、Clopは2倍から3倍以上の攻撃を実行している。
NCC Groupにおける脅威インテリジェンスのグローバルヘッドであるマット・ハル氏は「多くの組織はまだClopによる攻撃の影響に対処しており、このことはランサムウェア攻撃が広範囲に影響を及ぼすもので、その影響が長く続くことを示している。どの組織もどの個人も安全ではないのだ」と語る。
「MOVEitの脆弱性を利用したキャンペーンは特に重大な被害を引き起こした。ClopはMOVEitを侵害するだけで、何百もの組織から身代金を奪った。自社の環境を守るためには、警戒するだけでなくサプライチェーンで連携している自社以外の組織のセキュリティプロトコルにも細心の注意を払う必要がある」(ハル氏)
機密性が高く、規制の厳しい業界の組織に対して、Clopによる攻撃が引き起こした影響と潜在的な被害の範囲は広大だ。下流に位置する被害者はいまだに完全に把握できていない。
コロラド州立大学は6回にわたって6種類の攻撃を受けた(注7)。4大監査法人のうち3つの法人も攻撃を受けており、彼らが管理する機密性の高い顧客データが危険にさらされた。
サイバーセキュリティ企業Rapid7によって2023年の上半期に観察された1500以上のランサムウェア攻撃のうち、Clopが責任を負ったものは12%にすぎない(注8)。この数字は、ClopがMOVEitの顧客を標的にしていかに多くの攻撃を実行したのかを強調している。
MOVEitの親会社であるProgress Softwareは、2023年5月31日にゼロデイ脆弱性を公表し、修正用のパッチを提供した。しかし当時、この脆弱性を悪用した大規模な攻撃はすでに進行中だった(注9)。
(注1)MOVEit mass exploit timeline: How the file-transfer service attacks entangled victims(Cybersecurity Dive)
(注2)The MOVEit spree is as bad as ― or worse than ― you think it is(Cybersecurity Dive)
(注3)Unpacking the MOVEit Breach: Statistics and Analysis ZACH SIMAS JULY 18, 2023(EMSISOFT)
(注4)MOVEit hack victim list(Kon Briefing)
(注5)Cyber Threat Intelligence Report(nccgroup)
(注6)Cyber Threat Intelligence Index: July 2023(FLASHPOINT)
(注7)MOVEit Software Cyberattack Notification(CSU SYSTEM)
(注8)Rapid7’s Mid-Year Threat Review(RAPID7)
(注9)MOVEit zero-day vulnerability under active exploit, data already stolen(Cybersecurity Dive)
© Industry Dive. All rights reserved.