今、要注意な4つのサイバー攻撃グループとは? 受けた被害と彼らの手口:Cybersecurity Dive
ランサムウェアの活動は依然として活発だが、Rapid7の研究者によると、攻撃に使用される独自のランサムウェアの数は半分以下に減少している。その理由とは。
サイバーセキュリティ事業を営むRapid7は、2024年1月12日(現地時間)のブログ投稿で「2023年には約5200の組織がランサムウェア攻撃を受けた」と発表した(注1)。このデータは公開された情報および同社のマネージドディテクションレスポンスチームによるインシデントデータから取得したものだ。
Rapid7で脅威分析を担当するシニアディレクターのクリスチャン・ベーク氏は、報告書の中で「実際にはこの数字以上の攻撃があったと思われる。なぜなら、この数字には報告されなかった多くの攻撃が含まれていないためだ」とコメントした。
Rapid7は2022年のデータを公開していないが、他企業の調査では「ランサムウェア攻撃の数は増加している」と結論付けている。サイバーセキュリティ事業を営むBlackFogによると、2023年の下半期は2022年の下半期と比較して2倍のランサムウェア攻撃があったという(注2)。
ランサムウェアファミリー減少も気を抜けない理由
Rapid7によると、ランサムウェアの活動は依然として活発だが、こうした攻撃に使用される独自のランサムウェアファミリーの数は、2022年は95個だったのが2023年には43個に半減している。ベーク氏は「これは現在のランサムウェアファミリーとモデルが攻撃者の目標に合致していることを示唆している」と指摘する。
2023年に最も活発だったランサムウェアグループは、防御者や業界のオブザーバーの予想と一致しているだろう。
Rapid7によると「AlphV」は2023年に最も活発に活動した脅威グループだった。
サイバー当局によると、「BlackCat」としても知られるこのグループは2023年9月の時点で1000以上の組織に侵入し、約3億ドルもの身代金を得た(注3)。米国連邦捜査局(FBI)と米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)は、AlphVを世界で2番目に大規模なランサムウェアサービスとした。
法執行機関は2023年12月中旬にAlphVのインフラを閉鎖した(注4)。しかしBlackCatはその数時間後に再び出現し(注5)、データリークサイトに新たな被害者を掲載し続けている。
AlphVに次いで2023年に最も活発に活動したランサムウェアグループは「BianLian」と、Progress Softwareのファイル転送サービス「MOVEit Transfer」のゼロデイ脆弱(ぜいじゃく)性を広く悪用した「Clop」(注6)(注7)、「CitrixBleed」の重大な脆弱性の悪用に関連した「LockBit 3.0」(注8)、「Play」の4つだ。
Rapid7によると、2023年のランサムウェア攻撃において観測された最も一般的な最初の攻撃経路は、不特定多数に公開されたアプリケーションと正規アカウントの認証情報の悪用だった。
(注1)2023 Ransomware Stats: A Look Back To Plan Ahead(RAPID7)
(注2)BlackFog State of Ransomware Report(BlackFog)
(注3)#StopRansomware: ALPHV Blackcat(CISA)
(注4)US leads AlphV ransomware infrastructure takedown(Cybersecurity Dive)
(注5)Notorious ransomware group tussles with law enforcement, regenerates after takedown(Cybersecurity Dive)
(注6)MOVEit attack spree makes Clop this summer’s most-prolific ransomware group(Cybersecurity Dive)
(注7)MOVEit mass exploit timeline: How the file-transfer service attacks entangled victims(Cybersecurity Dive)
(注8)CitrixBleed worries mount as nation state, criminal groups launch exploits(Cybersecurity Dive)
関連記事
- いざサイバーレジリエンスを実践 これだけはやっておきたい3つの対策
サイバーレジリエンスを詳細に解説してきた本連載。最終回はこれを高める14の手法のうち、これだけはやっておきたい3つの対策を紹介します。 - 住友化学はいかにして工場とオフィスのサイバーレジリエンスを強化しているか?
セキュリティインシデントにつながる異変に気付き、報告できる人を育てるにはどうすればいいのか。工場とオフィスでサイバーレジリエンスの強化を実践している企業が内情を語った。 - Contiの解析から判明した“攻撃者エコシステムの実態”と“EDRの限界”
今やランサムウェアグループは分業化などが進み、組織はますます高度化している。著名なランサムウェアグループContiの実態と攻撃手法から、EDRの限界が見えてきた。 - 情報セキュリティ10大脅威に起きた“大きな変化”と“小さな変化” その狙いを考察
IPAは「情報セキュリティ10大脅威 2024」の概要を公開しました。毎年恒例のこの脅威リストですが、今回は見逃せない大きな変化と小さな変化がありました。これにはどのような意図があるのか。筆者が考察します。
© Industry Dive. All rights reserved.