LockBit が支配するランサムウェア市場:2023年 Q4 を解析する- ReliaQuest

LockBit Reigns Supreme in Soaring Ransomware Landscape

2024/02/02 InfoSecurity — XDR セキュリティ・プロバイダ ReliaQuest によると、2023年 Q4 にランサムウェア・キャンペーンが急増したのは、きわめて活発な LockBit グループが要因となっている。ReliaQuest が発表した Q4 2023 Ransomware Trends レポートによると、2023年10月〜12月のランサムウェアの活動は、2022年の同時期と比較して 80% 増加している。この期間において、合計で 1262件の被害者がデータ流出サイトに掲載されたが、その業種は製造/建設/専門職/科学技術サービスなどの多岐にわたっている。

LockBit が支配する脅威の状況

LockBit は最も活発な脅威グループであり、調査期間中に 275件の被害者データを、漏洩サイトにリストアップしている。

2023年 Q4 の2位 Play は 110件であるため、その2倍以上の被害者を、LockBit は生み出したことになる。なお、3位は ALPHV/BlackCat の 102件、4位は NoEscape の76件、5位は 8Base の 75件である。

Number of compromised entities listed on data-leak sites by threat group in Q4 2023. Source: ReliaQuest

2023年を通して、LockBit は最も活発なグループであり、この期間の傾向と一致している。

ReliaQuest の観測によると、同グループの公的な代表者である LockBitSupp は、法執行機関の活動により活動が妨害されている、NoEscape や ALPHV のメンバーたちを勧誘し続けているようだ。たとえば、LockBit のデータ・リーク・サイトと交渉パネルが、両グループのアフィリエイトたちに提供されている状況が観察されている。

ReliaQuest は、「このリクルート・スキームが上手くいったかどうかは不明だが、ALPHV にリンクしていた少なくとも1つの組織が、LockBit のリーク・サイトに名前を連ねている」と述べている。

その一方で、ランサムウェア・グループ NoEscape と Play は、2023年 Q4 に活動を活発化させたようだ。

Citrix Bleed の増加と MOVEit の減少

2023年11月は、ランサムウェアの被害者請求が増加し、同月のみで 484件を数えるに至った。

Number of compromised entities listed on data-leak sites by month in 2023. Source: ReliaQuest

この急増について ReliaQuest は、主に LockBit のアフィリエイトが悪用していた、Citrix Bleed への攻撃が増加したからだと指摘している。

同レポートには、「その上 11月には、ランサムウェア・グループ ALPHV による、新たな積極的な恐喝戦術が登場し、ターゲットに圧力をかけるために米国証券取引委員会 SEC をも巻き込んでいた」と記されている。しかし、MOVEit キャンペーンは沈静化したようであり、Clop グループの 2023年 Q4 の被害者数を、前四半期と比較して 95.3% も減少させている。

ランサムウェア・グループの 2024年の戦術を予測する

ReliaQuest は、自社のデータに基づき、ランサムウェアによる被害は、2024年も増加すると予測している。さらに同社は、最も活発なランサムウェア・グループが導入するだろう、2024年の手口についても予測も発表している。

以下が、その例となる:

LockBit と NetScaler の関連性: ネットワーク技術として広く使用されている、Citrix NetScaler の脆弱性を悪用する LockBit は、価値の高い組織 (行政/銀行/法律) を標的としている。こうした攻撃による収益性と成功率から、今後も LockBit は NetScaler の悪用と業界への注力を続けるだろうと、ReliaQuest は評価している。

Clop カムバックの可能性:Clopの活動は、2023年末にかけて減少したが、このグループは 2024年にカムバックすると、ReliaQuestは予想している。2023年における活動の急増と漸減は、2020-21年のゼロデイ・キャンペーンの後にも、Clop では観測されている。

NoEscape の静かな脅威: NoEscape は、データ漏えいサイトを閉鎖するなどして姿を消したように見えるが、おそらく別の名前で活動を再開するだろうと、ReliaQuest は予測している。この評価は、NoEscape が “Avaddon” のリブランドとして登場し、複数の恐喝戦術で成功を収めたという事実に基づいている。

2023年 Q4 におけるランサムウェアの調査であり、Lockbit の活動量が圧倒的であったと報告しています。どうやら、Clop により MOVEit 攻撃は沈静化したようですね。つい先日の 2024/01/29 にも、「ランサムウェアの 2023年:急増の要因と戦術の変化 – GRIT Report」という記事をポストしています。こちらは、2023年を通じた調査の結果をまとめたものですが、やなり Lockbit の強さが示されています。