LockBit, Black Basta, Play Dominate Ransomware in Q1 2024
2024/05/01 InfoSecurity — 2024 Q1 に最も活発に動き回ったランサムウェア・グループは、LockBit/Black Basta/Play であることが確認された。その中でも特筆すべきは、Black Basta の活動が 41% も増加したという点だ。このデータは、サイバーセキュリティ企業 ReliaQuest の最新レポートによるものだ。同レポートは、調査の対象期間中である2月に、LockBit が法執行機関によるテイクダウンを受け、大きく後退したことにも触れている。
LockBit は、テイクダウン後の運営回復の努力にもかかわらず、その活動は前四半期に比べて 21% ほど減少した。同グループのアフィリエイト間での評判も悪化し、サイバー犯罪者フォーラムでは、法執行機関により危険にさらされたグループとの協力について、懸念を示す懐疑的なコメントも散見された。
そんな中で、新たに出現した DarkVault グループは、LockBit のリブランドであり、監視の目を交わすために立ち上げられたものだと疑われている。DarkVault と LockBit には、フォント/配色/身代金要求の形式などで類似点が見られ、両グループ間の共通性が示唆される。
また、ALPHV は、DLS (Dedicated/Data Leak Site) に偽のテイクダウン通知を掲載した後に、突然に活動を停止した。この一件は、アフィリエイトは自身の仲間に悪用されやすいという、サイバー犯罪ネットワーク内に蔓延している信用問題を浮き彫りにし、ランサムウェアの状況に新たな複雑さを加えている。
今後は、脆弱な企業向けファイル転送ソフトウェアを標的とする、Clop ランサムウェア・グループが復活するかもしれないと、ReliaQuest は予測している。同社はさらに、クラウドや SaaS プラットフォームの悪用の増加や、AI/機械学習の進歩が、今後数カ月のランサムウェア・キャンペーンを形成するだろうと予想している。
ReliaQuest はレポートで、「最近の法執行活動では復号化ツールが作成され、Operation Chronos/ALPHV/Hive などの、グループのインフラ内で共有された復号化キーが照合されている。今後のランサムウェア・グループは、このような事態から逃れるために、復号化キーの共有/保存の方法を変更し、オフラインのインフラに移行する可能性がある」と述べている。
ReliaQuest が提唱していのは、ランサムウェアのリスクを軽減するための、MFA (multi-factor authentication)/アクセス権限の最小化/定期的なパッチ管理などの、予防的なセキュリティ対策の導入である。
Lockbit にしろ、ALPHV にしろ、ランサムウェア・ギャングたちの内部も、いろいろと大変ですね。ALPHV の件に関しては、MyNavi で 後藤大地さんが、「ランサムウェア組織「ALPHV」が突然消滅、関連組織の身代金持ち逃げか」というニュースを書かれていました。それにしても、この4月末は、ランサムウェアなどに関するレポートが盛り沢山ですね。
05/01:イニシャル・アクセスとしての脆弱性悪用:2023年は 180% 増 – Verizon
4/30:ランサムウェア・ギャングへの身代金の支払額:500% 増 – Sophos
4/30:ランサムウェア 2024 Q1:サイバー保険会社の視点で分析 – Corvus
4/24:サイバー保険請求の 56%はEメールの受信トレイから – Coalition
4/21:ランサムウェア 2024 Q1:身代金は高額から中程度に移行か? – Coveware
IoT OT Security News 
You must be logged in to post a comment.