ランサムウェアの活動は依然として活発だが、Rapid7の研究者によると、攻撃に使用される独自のランサムウェアの数は半分以下に減少している。その理由とは。
この記事は会員限定です。会員登録すると全てご覧いただけます。
サイバーセキュリティ事業を営むRapid7は、2024年1月12日(現地時間)のブログ投稿で「2023年には約5200の組織がランサムウェア攻撃を受けた」と発表した(注1)。このデータは公開された情報および同社のマネージドディテクションレスポンスチームによるインシデントデータから取得したものだ。
Rapid7で脅威分析を担当するシニアディレクターのクリスチャン・ベーク氏は、報告書の中で「実際にはこの数字以上の攻撃があったと思われる。なぜなら、この数字には報告されなかった多くの攻撃が含まれていないためだ」とコメントした。
Rapid7は2022年のデータを公開していないが、他企業の調査では「ランサムウェア攻撃の数は増加している」と結論付けている。サイバーセキュリティ事業を営むBlackFogによると、2023年の下半期は2022年の下半期と比較して2倍のランサムウェア攻撃があったという(注2)。
Rapid7によると、ランサムウェアの活動は依然として活発だが、こうした攻撃に使用される独自のランサムウェアファミリーの数は、2022年は95個だったのが2023年には43個に半減している。ベーク氏は「これは現在のランサムウェアファミリーとモデルが攻撃者の目標に合致していることを示唆している」と指摘する。
2023年に最も活発だったランサムウェアグループは、防御者や業界のオブザーバーの予想と一致しているだろう。
Rapid7によると「AlphV」は2023年に最も活発に活動した脅威グループだった。
サイバー当局によると、「BlackCat」としても知られるこのグループは2023年9月の時点で1000以上の組織に侵入し、約3億ドルもの身代金を得た(注3)。米国連邦捜査局(FBI)と米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)は、AlphVを世界で2番目に大規模なランサムウェアサービスとした。
法執行機関は2023年12月中旬にAlphVのインフラを閉鎖した(注4)。しかしBlackCatはその数時間後に再び出現し(注5)、データリークサイトに新たな被害者を掲載し続けている。
AlphVに次いで2023年に最も活発に活動したランサムウェアグループは「BianLian」と、Progress Softwareのファイル転送サービス「MOVEit Transfer」のゼロデイ脆弱(ぜいじゃく)性を広く悪用した「Clop」(注6)(注7)、「CitrixBleed」の重大な脆弱性の悪用に関連した「LockBit 3.0」(注8)、「Play」の4つだ。
Rapid7によると、2023年のランサムウェア攻撃において観測された最も一般的な最初の攻撃経路は、不特定多数に公開されたアプリケーションと正規アカウントの認証情報の悪用だった。
(注1)2023 Ransomware Stats: A Look Back To Plan Ahead(RAPID7)
(注2)BlackFog State of Ransomware Report(BlackFog)
(注3)#StopRansomware: ALPHV Blackcat(CISA)
(注4)US leads AlphV ransomware infrastructure takedown(Cybersecurity Dive)
(注5)Notorious ransomware group tussles with law enforcement, regenerates after takedown(Cybersecurity Dive)
(注6)MOVEit attack spree makes Clop this summer’s most-prolific ransomware group(Cybersecurity Dive)
(注7)MOVEit mass exploit timeline: How the file-transfer service attacks entangled victims(Cybersecurity Dive)
(注8)CitrixBleed worries mount as nation state, criminal groups launch exploits(Cybersecurity Dive)
© Industry Dive. All rights reserved.