　ランサムウェア集団が特に強い関心を示していたのは、リモートデスクトッププロトコル（RDP）とVPNに対する不正アクセス権だった。製品別にみると、Citrix、Palo Alto Networks、VMware、Fortinet、Ciscoの製品への不正アクセス権に対する需要が大きいことが判明。アクセス権はドメイン管理者特権が望ましいとする集団もあったものの、特権はそれほど重視していなかったという。

　こうした実態からKELAは、ランサムウェア集団も一般の企業と同じように「業界標準」を確立して、狙いを定める業種や国を選んでいると分析する。

　ただしランサムウェア攻撃は、企業の対応が手薄になる週末や連休を狙う傾向があることも分かっている。米パイプライン大手Colonial Pipelineが攻撃されたのは、5月上旬の母の日の週末を控えた金曜だった。続いて同月末のメモリアルデーの連休には食肉大手JBSが攻撃を受け、7月の米建国記念日の連休を控えた金曜にはITインフラ大手のKaseyaが攻撃された。

　このため米連邦捜査局（FBI）と国土安全保障省サイバーセキュリティ庁（CISA）は、連休や週末にかけては特に警戒を怠らないよう、対策の徹底を呼び掛けた。

FBIとCISAが8月に公開した調査レポート

　FBIの統計によると、ランサムウェア攻撃は増加傾向が続き、被害額も増大している。2021年1～7月にかけてFBIのインターネット犯罪苦情処理センター（IC3）に寄せられたランサムウェアの被害報告は、前年同期比62％増の2084件、被害額は同20％増の1680万ドル（約18億円）を超えた。

　犯行の手口も悪質化の一途をたどり、システムバックアップが暗号化されたり消去されたりして、被害組織が復旧できない事案も発生しているという。

　攻撃の発端となる不正侵入の手口としては、フィッシング詐欺メールや、セキュリティ対策が手薄なRDPエンドポイントに対するブルートフォース攻撃（パスワードを総当たりで試す手口）の利用が多かった。他にもソフトウェアやOSの脆弱性悪用やマネージドサービスプロバイダーの悪用、盗んだり闇市場で調達したりした認証情報の悪用も横行している。

　攻撃者は多くの場合、ランサムウェアを発動してシステムを暗号化するずっと前から、ネットワークに潜伏して偵察や情報の収集、抜き取りなどの活動をひそかに行っている。このためFBIやCISAは、実質的な被害が発生する前にそうした兆候を捉えて攻撃を阻止する「脅威ハンティング」と呼ばれる対策を勧告している。

日本の製粉大手に「前例ない」大規模攻撃　大量データ暗号化　起動不能、バックアップもダメで「復旧困難」
「システムの起動そのものが不可能で、データの復旧の手段はない」――製粉大手のニップンに、前例のない規模のサイバー攻撃。一度の攻撃で大量のデータが同時多発的に暗号化され、決算作業もできなくなった。
クライアント管理サービスのKaseyaに大規模ランサムウェア攻撃　またREvilの可能性
クライアント管理サービスを手掛けるKaseyaは米独立記念日前の金曜午後、大規模なランサムウェア攻撃を受けたと発表した。オンプレミス版で約40の顧客が犠牲になり、全顧客にサービスの停止を呼び掛けている。セキュリティ企業はロシアのハッカー集団REvilが関わっている可能性を指摘した。
Atlassian Confluenceの脆弱性修正パッチを至急適用するよう米政府が警告
Atlassianが8月末にパッチを公開したConfluenceの脆弱性を悪用する攻撃が拡大していると、米当局が警告した。米国はLabor Dayの3連休だが「週明けまで待つことはできない」と米サイバー軍は至急パッチを適用するよう呼び掛けた。
米、英、EU、NATO、日本など、サイバー攻撃で中国を非難
米、英、EU、NATO、日本などが7月19日、3月に発生したMicrosoft Exchange Serverの脆弱性を悪用したサイバー攻撃について、中国を非難した。米司法省は同日、中国政府とつながりがあると見られるハッカー4人を指名手配したと発表した。
小説投稿サイト「カクヨム」の偽サイトに注意　作品を無断転載　UIも本物そっくりにコピー
小説投稿サイト「カクヨム」の作品を不正に転載したサイトを、カクヨム運営元のKADOKAWAが確認した。IDやパスワードが盗まれる危険があるため、アクセスしないよう呼び掛けた。