ランサムウェア 2021年の調査:勝ち続ける帝国のパワーを数々の指標が証明

Ransomware still winning: Average ransom demand jumped by 45%

2022/05/23 HelpNetSecurity — Group-IB は、ナンバーワン脅威の進化を示すガイド Ransomware Uncovered 2021/2022 を発表した。このレポート第2版における調査結果によると、ランサムウェア帝国は連勝を重ね、2021年の身代金の返金要求額は、45% 増の $247,000 に達したとされる。2020年以降のランサムウェア・ギャングは、ずっと貪欲になっている。Hive がMediaMarkt に対して要求した身代金は、$240 million (2020年は $30 million) という記録的なものだった。Hive だけではなく、2021年のもう1人の新参者 Grief は、専用リークサイト (DLS) に投稿された被害者の数で、Top-10 ギャングの仲間入りを果たした。

average ransom demand

ランサムウェアの組み立てライン

この新しいレポートは、あらゆる地域で観測されたランサムウェアの最新 TTP を、Group-IB の Digital Forensics and Incident Response (DFIR) チームが取りまとめたものである。調査した 700件以上の攻撃の分析に加え、ランサムウェアの DLS についても検証している。

これまでの3年間において、ランサムウェア攻撃は、世界のサイバー脅威の状況を堅実なマージンでリードし続けてきた。イニシャル・アクセス・ブローカーの台頭と、Ransomware-as-a-Service (RaaS) の拡大が、ランサムウェアの運用を継続的に拡大する、2つの主要な原動力となっている。RaaS により、低スキルのサイバー犯罪者がゲームに参加できるようになり、被害者数を増加させることに成功した。

2021年の 700件以上の攻撃を分析したところ、身代金の返金要求額は $247,000 であり、2020年と比べて 45% 増になったと専門家は推定している。被害者のダウンタイムが 2020年の18日から 2021年の22日に増加したことからも分かるように、ランサムウェアは高度に進化している。

RaaS プログラムは、ランサムウェアを構築するだけではなく、データ流出用のカスタムツールをアフィリエイトに提供し、運用を簡素化/効率化するものに進化した。分析したケースの 63% で、被害者の機密データが流出しているが、二重恐喝の広まりが、身代金を支払わせる仕組みとして機能したからだ。2021年 Q1〜2022年 Q1 において、ランサムウェアの集団は、3,500件以上の被害者データを DLS に掲載した。

2021年において、ランサムウェア運営者の DLS にデータが掲載された企業は、米国 1,655件/カナダ 176件/英国 168件 に分類され、分野としては製造業 322件/不動産 305件/専門サービス 256件に分類される。最も攻撃的なギャングは Lockbit/Conti/Pysa であり、それぞれが DLS にアップロードした被害者は、670件/640件/186件であることが判明した。2021年に新規参入した Hive/Grief (DoppelPaymer のリブランド) は、DLS に投稿した被害者数において、Top-10 ギャングに仲間入りした。

ボットは見かけによらない

2021年において、公開されている RDP サーバーの悪用は、標的ネットワークに最初の足場を築くための、再び最も一般的な方法となった。すべての攻撃の 47% は、外部のリモートサービスを侵害することから始まっている。

OPIS

2020年〜2021年で、連続して2位となったのは、ありふれたマルウェアを隠し持つスピアフィッシング・メールである。初期段階でコモディティ・マルウェアを展開する戦略が、ランサムウェア・アクターの間で人気を高めている。しかし、2021年は 2020年と異なり、特定のマルウェアが特定のランサムウェアに帰属するという、関係性が薄くなってきている。2020年とは異なり、Emotet/Qakbot/IcedID などのボットが、さまざまな脅威アクターに利用されたことで、ランサムウェア攻撃におけるアトリビューションはさらに複雑化している。

たとえば、IcedID に関して言うなら、Egregor/REvil/Conti/XingLocker/RansomExx などの、各種ランサムウェアのアフィリエイトが、イニシャル・アクセスを得るために使用してきた。一般的に、多くのランサムウェア・アフィリエイトは、その攻撃ライフ・サイクルにおいて、自給自足のテクニックと正規のツールに依存していた。侵入後の活動を開始するために、Cobalt Strike (攻撃の 57% で観測) などのローディング・フレームワークを介して、コモディティ・が使用されるケースが多くあった。

しかし、一部のランサムウェア・ギャングは、きわめて型破りなアプローチを試みることが確認されている。REvil のアフィリエイトはゼロデイ脆弱性を悪用して、Kaseya のクライアントを攻撃した。Ryuk の作戦で使用された BazarLoader は、ビッシング(音声フィッシング) により配布された。そのフィッシング・メールは「有料サブスクリプション」に関する情報を含んでおり、電話でキャンセルできるとされていた。電話の中で、脅威アクターは被害者を偽の Web サイトに誘い、兵器化された文書をダウンロードして開くよう指示し、その文書が BazarLoader をダウンロード/実行させるというものだった。

Group-IB の DFIR チーム・リーダーである Oleg Skulkin は、「法執行機関の圧力による複数のランサムウェア・ブランド変更や、アフィリエイトの RaaS プログラムの乗り換えなどによる、絶え間のない TTP の変化/統合などを考えると、ランサムウェア脅威者の進化し続ける戦術やツールを、セキュリティ専門家が追跡することが、ますます困難になってきている」と述べている。

一言でランサムウェアと言っても、RaaS だけではなく、オペレーター/アフィリエイト/マルウェア/イニシャルアクセスなどの、さまざまなパートが連携し、その組み合わせがアメーバのように絶え間なく変容しています。それにより、追跡/調査/防御が、ますます難しくなっているようです。つい先日にポストした、「Conti ランサムウェアの解体と分散化:リブランドの状況と背景を探ってみた」という記事には、最大のランサムウェア・シンジケート Conti の柔軟性と懐の深さが記されていましたが、これなどは分かり易い例だと思います。なお、この記事は、5月19日の「2022 Q1 ランサムウェア調査:最も好まれる脆弱性 Top-10 などが明らかに」 と同じ、Group-IB Ransomware Uncovered 2021/2022 レポートがベースになっています。パブリッシャーと書き手の違いが見えて面白いです。

%d bloggers like this: