2021年のランサムウェア総被害額は $602 M:トップの Conti は $180 M も稼いだらしい

Organizations paid at least $602 million to ransomware gangs in 2021

2022/02/13 SecurityAffairs — 先週に、英国/米国/オーストラリアのサイバー・セキュリティ機関が、2021年にランサムウェアの脅威がグローバル化したとする共同勧告を発表した。ブロック・チェーン分析企業の Chainalysis が発表したレポートによると、2021年中に組織が支払った暗号通貨は $602 million 相当となる。この数字は、2020年の $692 million と比べて僅かに減少しているが、Chainalysis の専門家は、今後の数週間で他の支払いが追加される可能性があると述べている。

Chainalysis は発表したレポートにおいて、「2021年を通して、ランサムウェア被害額を何度か更新し、それ以前に確認できなかった新たな支払いを反映させてきた。2022年1月の時点で、2020年のランサムウェア支払額は $602 million を超えており、このレポートの作成に着手した時に確認した器楽の約2倍となっている。ランサムウェアのデータには、若干のタイムラグがあるため、数ヶ月後に数字が更新される際には、2021年は2020年よりも高い数字になると予想している」と述べている。


しかし、専門家たちは、2020年と2021年の実質的な被害額は、より高額であると付け加えている。さらに分析を深めると、2021年には Conti が最大の収益を占め、被害者から少なくとも $180 million を搾取していることが分かる。

ランサムウェア Conti の運用者は、2019年12月末に脅威 シーンに登場し、プライベートな Ransomware-as-a-Service (RaaS) を運営し、TrickBot の感染を通じて配布された。このオペレーターについて専門家たちは、ロシアを拠点とするサイバー犯罪グループ Wizard Spider のメンバーであると推測している。

2020年8月以降、同グループはリークサイトを立ち上げ、盗んだデータを公開し、被害者を脅している。また、Conti のオペレーターは、RaaS をアフィリエイトに提供し、それぞれの身代金の 20~30% を得ている。

Cybersecurity and Infrastructure Security Agency (CISA) および Federal Bureau of Investigation (FBI) は、国際的なユーザー組織を対象とした 400件以上の攻撃において、ランサムウェア Conti の利用が増加していると判断している。

2021年に2番目に高い収益を上げたグループである Darkside について、専門家たちは約 $85 million を稼いだと推定している。Darkside は 2021年5月に、アラバマ州ペラムにある Colonial Pipeline の施設を攻撃して話題になった。

この攻撃の後に、Darkside グループは、法執行機関の対応を恐れて活動を停止した。また、同グループは、インフラの一部と運営に使用していたウォレットの一部を、連邦政府が押収したと主張している。なお、同グループは、2021年7月に BlackMatter という名前で活動を再開している。

ランサムウェアの収益 Top-10 2021 の中には、Phoenix Cryptolocker と REvil のオペレーターもランクインしている。

また、このレポートでは、2021年のランサムウェアにおける、個々の支払額が増大していることが示されている。これは2018年に始まった気になる傾向であり、2019年の$25,000 から、2020年の $88,000、2021年の $118,000 と右肩上がりとなっている。

このレポートには、「Phoenix Cryptolocker が受け取った、記録的な $40 million の支払いが、最高となった平均支払い額を押し上げている。また、ランサムウェア・ギャングが、大規模な組織を標的とする攻撃に注力していることが、身代金の増加した理由である。この “大物狩り ” 戦略は、ランサムウェア攻撃者がサードパーティ・プロバイダーが提供するツールを利用し、より効果的は攻撃を目指していることも一因となっている」と述べている。

ランサムウェア攻撃は、収益性の高いサイバー犯罪活動であるため、2021年にはオペレーター数が増加したと、専門家たちは推測している。Chainalysis は、2019年の 79件、2020年の 119件に対して、2021年は少なくとも 140件のランサムウェア系統が、被害者から支払いを受けたと報告している。

研究者たちは、大半のランサムウェア・オペレーションは、短い時間枠の中で活動した後に、休眠状態になることに気付いた。ただし、2021年の全期間にわたって一貫して活動し続けた、Conti のような例外もあった。

このレポートは、「2021年には、ランサムウェアの運用者が「停止」を公表した後に、新しい名前で再始動し、別のサイバー犯罪者グループとして活動するケースが増えている。その際、ブロック・チェーン上での再ブランド化された系統の財務記録が、元の系統と一致していることが多く、捜査当局は新しい系統の背後にいる者を知ることが可能だ」と続けている。2021年のランサムウェア運用では、法の執行や制裁を避けるために、定期的にリブランドされることも多かった。

ランサムウェアの運用を成功に導いた要因は、2021年に過去最高レベルに急増した Ransomware-as-a-Service モデルの利用だという。このレポートは、「ランサムウェアの運用者が送金した資金のうち、より効果的な攻撃を可能にするために使用されるツール/サービスに費やされた金額は、2020年の 6% と比較して 16% に増加している。このような活動の中には、不正なサービスの購入ではなく、マネーロンダリングに該当するものもあるかもしれない。そして、被害者の平均支払額の増加に見られるように、2021年にランサムウェア攻撃者の効率が上がった理由の一つとして、これらのサービスの利用が増えたことがあると考えられる」と述べている。

このレポートでは、ランサムウェア攻撃の大半が、金銭的な動機によるものと思われる一方で、国家に支援された脅威アクターが、スパイ活動/風評被害/資金調達などの複数の目的のために、この手法を利用していることも強調している。多くの活動は、イラン/ロシア/中国/北朝鮮に関連しする、国家支援アクターとの関連が疑われている。この傾向は、2022年も引き続き増加すると、専門家たちは予想している。

冒頭に英米豪の共同勧告とありますが、この記事の内容は、Chainalysis のレポート Ransomware Payments Continue to Grow に沿ったものとなっているようです。2022年1月20日の「ダークウェブへの潜入調査:ランサムウェア・ギャングたちのデータを分析/整理」や、1月28日の「2021 調査:288種類の脆弱性を悪用する 157 のランサムウェア・ファミリー」も興味深い内容となっています。よろしければ、ご参照ください。

%d bloggers like this: