急増するランサムウェア攻撃:2023年上半期には 1,500件の被害が確認された – Rapid7

Ransomware Surges With 1500 Confirmed Victims This Year

2023/08/17 InfoSecurity — Rapid7 の 2023 Mid-Year Threat Review によると、2023年の上半期においては、全世界で少なくとも 1500の組織がランサムウェア攻撃の被害に遭っている。これらの攻撃の大半は、主要なランサムウェア・ギャングである、LockBit (35.3%)/ALPHV/BlackCat (14.2%)/Cl0p (11.9%) により実施されている。Rapid7 の Vulnerability Research Manager である Caitlin Condon は、「2023年上半期のデータを集計した時点では、MOVEit Transfer ハッキングにおける新たな被害者を集計している最中であり、Cl0p によるインシデント数は、調査結果よりも多い可能性がある」と InfoSecurity に語っている。


なお、この分析は、リークサイトにおけるコミュニケーションや、すでに公開されている情報、そして、Rapid7 のインシデント対応データに基づいている。

ランサムウェアのトッププレイヤーたちは、2023年の上半期では安定していたが、Rapid7 は新しいグループの出現も観察している。その顕著な例が、2023年 Q1 期末に立ち上げられたと思われる Akira グループだ。このグループは、すでに 60件の被害者を生み出している。

この調査結果は、ランサムウェアが 2023年に活発化し、そのエコシステムは成熟して、多様化し続けていると、Condon は述べている。

彼女は、「Clop のようなグループによるスマッシュ・アンド・グラブ攻撃が、ランサムウェアの被害者を激増させた。さらには、テクノロジー/サービス・プロバイダー/ビジネス・パートナーなどへの攻撃によりデータを漏洩させ、そのユーザーや組織にも大きな打撃を与えた。結局のところ、企業が身代金を支払い続ける限り、金銭目的の新たな脅威アクターが現れたり再編成され続けるだろう」と説明する。

Rapid7 以外の多くのレポートにおいても、2022年の相対的な減速の後に、2023年にランサムウェア攻撃が復活していることが強調されている。

イニシャル・アクセスの傾向

このレポートで明らかになったのは、2023年の上半期に Rapid7 の対応したインシデントの総件数が、前年比で 69% 増加したことである。そして、最も多く検出されたイニシャル・アクセスの手法はリモート・アクセス (39%) である。

続いて脆弱性の悪用 (27%) となっているが、研究者たちは、2023年1月〜6月までに広く悪用された 十数件の新しい脆弱性を取り上げている。これらの脆弱性は、3分の1以上がゼロデイ攻撃に利用されたという。

イニシャル・アクセスにおける、その他の手口には、フィッシング・ペイロード (13%) /サプライチェーンの侵害 (6%) /インサイダー脅威インシデント (4%) などがある。

残りの 11%には、クラウドのミスコンフィグレーション/SEO ポイズニングや、以前の侵害による危殆化の最悪用などが含まれている。

Condon は Infosecurity の取材に対して、2023年上半期のインシデントの 40%の原因は、特に VPN/VDI/SaaS 製品において、多要素認証 (MFA) の導入が不十分だったこと、一貫性がなかったことにあると述べている。

彼女は、「また、攻撃者がデフォルトの認証情報や脆弱なパスワードを悪用しているケースに加えて、監視されていないサービス・アカウントを狡猾に悪用しているケースも、依然として確認されている。我々のレポートでは、スマッシュ・アンド・グラブ型の恐喝攻撃に直面したときに、データ流出のリスクを軽減するための、具体的なガイダンスをいくつか挙げている。しかし、多くの組織は標的型攻撃を心配する前に、基本的なセキュリティ管理とプログラム・コンポーネントを実装する必要がある」と付け加えた。

国家に支援される攻撃

研究者たちは、2023年上半期において、79件の既知の国家支援型攻撃も追跡している。このうちの約4分の1 (24%) が、政府/重要インフラ/企業ネットワークなどを標的とし、パブリックなアプリケーションを悪用していた。

これらのグループが使用した、最も一般的なアクセス手法は、スピアフィッシング (23%) であり、それに続くのが有効なアカウントの悪用 (23%) である。

このレポートでは、国家を後ろ盾とする攻撃の主な動機を、以下の3つのカテゴリーに分類している:

  • サイバー戦争: 重要インフラを標的としたキャンペーンで、その多くは現在進行中のウクライナ紛争に関連する。
  • サイバースパイ活動:政治的/経済的な利益を得るために、情報/知的財産を収集することを目的としたキャンペーン。最近の例としては、2023年7月に中国の脅威アクターにより、米国政府の電子メールが侵害されたことが挙げられる。
  • 金融: 経済制裁の回避や国家体制への資金提供を目的とした、民間セクターを標的とした攻撃。

文中にもあるように、ランサムウェアが増えているという調査結果を、このところ、よく目にします。SonicWall が7月に調査を行い、その結果をまとめた 2023/07/26:「2023 Q1/Q2 比較でランサムウェア攻撃が 74% の急増」でも、暗号化から暴露へのシフトが解説されています。よろしければ、以下の関連記事も、ご参照ください。

2023/07/21:2023年6月のランサムウェア:過去最高を記録
2023/07/12:2023年の恐喝型ランサムウェアは大成功