ランサムウェアの滞留時間が24時間と最短を記録

Secureworks2023年サイバー脅威の実態(State of The Threat)レポートの分析によると、ランサムウェアの滞留時間の中央値が4.5日から24時間未満に減少

【アトランタ2023年12月6日PR Newswire】Secureworks(R)(NASDAQ: SCWX)Counter Threat Unit(TM)(CTU(TM))によると、50%以上のランサムウェアインシデント対応事案で、侵入から1日以内にランサムウェアが展開されていました。サイバー脅威の実態(State of The Threat)レポートで確認された滞留時間の中央値は、わずか12カ月で、4.5日から1日未満まで急激に減少しました。その内10%の事案では、侵入から5時間以内にランサムウェアが展開されました。

Secureworks Counter Threat Unitのドン・スミス(Don Smith)脅威リサーチ担当バイスプレジデントは「滞留時間の中央値が短くなった要因は、検知の可能性を低くしたいとサイバー犯罪者が考えているためと考えられます。サイバーセキュリティ業界は、ランサムウェアの前兆となる攻撃活動の検知に極めて熟達しました。その結果、攻撃者は、複数サイトや企業全体に渡るような極めて複雑で大規模な暗号化ではなく、よりシンプルかつ迅速に操作を実装することに重点を置いています。しかし、このような変化があったとしても攻撃によるリスクは依然として高い状態です。」と述べました。

ドン・スミス氏はさらに「最も活発な攻撃者としてよく知られた名前が依然として存在しますが、幾つかの新しい極めて活発な攻撃グループが出現し、被害組織とデータ漏えいの大幅な増加に拍車を掛けています。注目を集めたテイクダウンや制裁があったにもかかわらず、サイバー犯罪者は順応の達人であり脅威は引き続き勢いを増しています。」と述べました。

2023年サイバー脅威の実態レポートでは、20226月から20237月までのサイバーセキュリティ状況を調査しています。主要な発見事項は次の通りです

  • GOLD MYSTIC(LockBit)、GOLD BLAZER(BlackCat/ALPV)、GOLD TAHOE(Cl0p)などのよく知られた名前が依然としてランサムウェアの世界を支配していますが、新しいグループが出現し「暴露型(Name and Shame)」の暴露サイトに多数の被害組織をリストアップしています。この報告期間の過去4カ月間は、2019年に暴露型攻撃が始まって以来、被害組織数が最も多くなりました。
  • 顧客がSecureworksのインシデント対応担当者と連携したランサムウェア対応で確認された3つの最大の侵入手法(IAV: Initial Access Vectorは、脆弱性のスキャンと悪用、窃取済みの認証情報の利用、フィッシングメールで配布したマルウェアの利用でした。
  • 2022年以前の既知の脆弱性の悪用が続いており、レポート期間中の悪用された脆弱性ランキングの半分以上を占めました。

最もアクティブなランサムウェアグループ

2023年も2022年と同じ攻撃グループが引き続き優勢でした。GOLD MYSTICのLockBitが依然としてグループの先頭に立ち、次に活発なグループであるGOLD BLAZERが運営するBlackCatのほぼ3倍の被害組織数を抱えています。

また新たなスキームも登場し、多数の犠牲者が出ています。MalasLocker、8BASE、Akira(14位)はいずれも2023年第2四半期からインパクトを与えた新規参入組織です。8BASEは2023年6月に暴露サイトに40近くの被害組織を掲載しましたが、これはLockBitよりわずかに少ないだけです。分析によると、被害組織の一部は2022年半ばまでさかのぼりますが、同時にダンプされていました。2023年4月末からZimbraサーバーに対するMalasLockerの攻撃では、5月に暴露サイトで171の被害組織が出ました。今回のレポートでは、ランサムウェア攻撃の成功率について暴露サイトの活動から実際に判明していることを調査していますが、それは見かけほど単純ではありません。

レポートはまた、2023年4月から7月までの1カ月当たりの被害組織数が、2019年に暴露型攻撃が登場して以来、最も多かったということも明らかにしています。月間の被害組織数が過去最高となった2023年5月に暴露サイトに投稿された被害組織数は600で、これは2022年5月の3倍に相当します。

ランサムウェアの主な侵入手法

顧客がSecureworksのインシデント対応担当者と連携したランサムウェア対応で観測した3つの最大の侵入手法は、脆弱性のスキャン・悪用(32%)、窃取した認証情報の利用(32%)、フィッシングメール経由で配布したマルウェアの利用(14%)でした。

脆弱性のスキャン・悪用には、Shodanなどの検索エンジンや脆弱性スキャナーを介して潜在的に脆弱なシステムを発見し、特定の脆弱性を悪用しシステムに侵害しようとすることが含まれます。最も広く悪用された上位12件の脆弱性のうち、58%のCVEは2022年より前です。さらに古い脆弱性(CVE-2018-13379)も、2021年と2020年の広く悪用された上位15件に入っています。

ドン・スミス氏はまた「ChatGPTやAIを利用した攻撃が大々的に宣伝されたにもかかわらず、これまでのところ、2023年に最も注目を集めた2つの攻撃は、インフラストラクチャーにパッチが適用されていないことに起因するものでした。結局のところ、サイバー犯罪者は試行錯誤を重ねた攻撃方法から報酬を獲得しているので、組織は基本的なサイバー空間の衛生管理(Cyber Hygiene)で自分自身を守ることに集中し、誇大広告に巻き込まれないようにしてください。」とも述べました。

国家支援を受ける攻撃グループの世界

このレポートでは、中国、ロシア、イラン、北朝鮮に属する国家支援の攻撃グループの重要な活動と傾向も調査しています。地政学は依然として国家支援による攻撃グループ全体の主な原動力となっています。

中国

中国は、その関心の一部を東欧に移行する一方、台湾やその他の近隣諸国にも引き続き重点を置いています。同国は、サイバー諜報活動における隠蔽工作をますます重視する傾向を強めており、これまでの「Smash-and-Grab(ショーウィンドウ破りの強盗)」という評判から一変しました。Cobalt Strikeなどの商用ツールや中国のオープンソースツールを使用することで、帰属のリスクを最小限に抑え、侵入型ランサムウェアグループの活動と融合しています。

イラン:

イランは依然として反体制活動、アブラハム合意の進展妨害、核合意の再交渉に向けた西側の意図に焦点を当てています。イランの主要情報機関である情報安全保障省(MOISまたはVAJA)とイスラム革命防衛隊(IRGC)は共に請負業者のネットワークを利用して攻撃的なサイバー戦略を支援しています。ペルソナ(本物の人物になりすます、または作成した架空の人物になりすます)の使用は、イランの攻撃グループ全体で重要な戦術となっています。

ロシア

ウクライナ戦争は依然としてロシアの活動の焦点となってきました。攻撃は、サイバー諜報活動と破壊活動の2つに分類されます。今年は、ロシアの敵対者とみなされる組織を標的とする愛国心にあふれたサイバーグループの数が増加しました。Telegramは攻撃者にとって、採用活動、標的の発表、攻撃の成功アピールに最適なソーシャルメディア/メッセージングプラットフォームです。信頼できるサードパーティーのクラウドサービスを、悪意を持って使用することがロシアの攻撃グループの活動に頻繁に組み込まれています。

北朝鮮

北朝鮮の攻撃グループの目的は、サイバー諜報活動と孤立した政権のための外貨獲得という2つに分類されます。AppleJeusは北朝鮮の金銭窃盗活動の基本的なツールとなっており、Ellipticによると、北朝鮮の攻撃グループは2017年5月から2023年5月までに23億米ドルを窃盗しました(このうち30%が日本からのものです)。

2023年サイバー脅威の実態レポートState of the Threat Report 2023

最新のサイバー脅威の実態レポートは、Secureworksによる8回目の年次レポートであり、世界のサイバー脅威の状況が過去12カ月間でどのように進化したかを端的に分析しています。レポートに掲載された情報は、我々が実際に対応したインシデントから得た情報に加えて、Secureworks Counter Threat Unit(CTU)が観測した攻撃者のツールとTTPsから得られています。この年次の脅威分析にて、当社チームがサイバーセキュリティの最前線で観測したサイバー脅威についての深い知見が得られます。

2023年サイバー脅威の実態レポートの全文はウェブサイトhttps://www.secureworks.jp/resources/rp-state-of-the-threat-2023で読むことができます。

Secureworksについて

Secureworks(NASDAQ: SCWX)は、20年以上にわたるグローバルの脅威インテリジェンスとリサーチに基づいて構築されたSaaSベースのオープンXDRプラットフォームであるSecureworks(R)Taegis(TM)によって人類の進歩を守るサイバーセキュリティのグローバルリーダーであり、お客様環境における、高度な脅威の検知、調査の効率化とコラボレーション、適切な対応の自動化を実現します。XLinkedInFacebookでSecureworksをフォローすると共に、Secureworksのブログを参照してください。

Logo - https://mma.prnasia.com/media2/1558509/Secureworks_V1_Logo.jpg?p=medium600

▽問い合わせ先
Susie Evershed/Nicole Catalano
press@secureworks.com

ソース:Secureworks, Inc.