LockBit Dominates Ransomware Campaigns in 2022: Deep Instinct
2022/11/01 InfoSecurity — 2022年 Q1/Q2/Q3 におけるランサムウェア・キャンペーンでは、全体の 44% を LockBit RaaS グループが占めることになった。それに続くのが、Conti (23%)/Hive (21%)/Black Cat (7%)/Conti Splinters (5%) などであり、Quantum/Black Basta/Black Byte などの脅威アクター・グループで構成されるものだ。この数字は、Deep Instinct のレポートである 2022 Interim Cyber Threat Report をベースにしたものだ。
Deep Instinct の Threat Lab Team Leader である Mark Vaitzman は、「2022年も、サイバー犯罪者とランサムウェアのギャングにとって記録的な年だった。これらの脅威アクターのたちは、従来のサイバー防御を回避するためにデザインされた新たな戦術で、常にゲームをアップグレードしていることは周知の事実である」とコメントしている。
このレポートでは、Agent Tesla/NanoCore/Emotet などの脅威グループが、検知を回避するために高度に難読化した、Visual Basic for Applications (VBA) マクロを使い始めたという現象についても検証している。
Deep Instinct の調査によると、Microsoft Office ファイルのマクロが、デフォルトでは無効化されたことで、マルウェアによる Office ドキュメントの利用が減少し、その代わりとして LNK (Windows ショートカット・ファイル)/HTML/メールへのアーカイブ添付などが、サイバー攻撃の第一のベクターに変化したとされている。
さらに、SpoolFool/Follina/DirtyPipe などの脆弱性は、Windows/Linux システムの双方で悪用されやすいことが報告されており、悪用される欠陥の数が 3~4カ月ごとに急増している状況が示唆されている。
Deep Instinct が発見したもう1つのトレンドは、脅威者が攻撃フローの中でデータ流出を利用し、データの暴露と引き換えに身代金を要求することだ。
機密データが流出した場合には、対応策が減少する。また、流出したデータに機密情報が含まれている場合であっても、サードパーティ企業に身代金を要求する、脅威アクターも登場している。
Deep Instinct レポートでは、将来に関する3つの予測も示されている。1つ目の予測は、脆弱なシステムやアクセスを売り込んで、報酬を得ようとする従業員などの存在である。つまり、脅威アクターたちは、攻撃を開始するための最も弱いリンクを探し続けるだろう。
2つ目の予測は、プロテストウェアに関するもので、ソフトウェアを破壊するマルウェアの機能を武器にする脅威アクターの台頭である。3つ目の予測は、パッチ未適用の脆弱性を悪用する脅威アクターの行動である。
Vaitzman は、「防御者は引き続き警戒を怠らず、こうした攻撃を未然に防ぐための新たなアプローチを見つける必要がある」と結論付けている。
Deep Instinct のレポートは、2019年以降においてランサムウェアが 466% 増加し、物理戦争の兵器としても利用されていることを示唆する、Ivanti のレポートの数日後に公表されている。
Conti は6月にシャットダウンした後にもシンジケートとして機能していましたが、それに代わる勢力として LockBit が暴れまくるという、2022年のランサムウェア動向だったと思います。そして、今後の予測ですが、IAB (Initial Access Broker) の動向が気になりますし、ウクライナ侵攻後に増えてきたワイパーや、ランサムウェアと脆弱性の関係も気になります。よろしければ、Conti で検索と、LockBit で検索を、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.