新たな調査によると、脅威アクターはセキュリティ専門家の勤務時間外を狙ってランサムウェア攻撃を仕掛けていることが明らかになった。MalwarebytesのThreatDown 2024ランサムウェアの現状レポートによると、昨年のインシデント発生の大半は午前1時から午前5時の間に発生している。
本レポートの著者らは、ThreatDownのマネージド・ディテクション・アンド・レスポンス(MDR)チームのデータを用いて調査を実施しました。その結果、昨年、世界のランサムウェア攻撃は33%増加し、特に標的となった国で増加率が最も高かったことが明らかになりました。英国では既知の攻撃が67%増加し、米国では63%増加しました。
「私が組織に尋ねる質問は、『既存のテクノロジースタックと人員リソースで、日曜日の午前2時の攻撃を阻止する準備ができている人材はいますか?』です」と、IDCのセキュリティ&トラスト製品グループのリサーチバイスプレジデント、クリス・キッセル氏はプレスリリースで述べた。
「月曜日の朝にアラートを検知するツールはあったとしても、その時はもう手遅れです。脅威アクターはネットワークに侵入し、データをダウンロードし、ランサムウェアを展開するために、迅速に行動しています。」
Malwarebytesの創設者兼CEOであるMarcin Kleczynski氏は、「ランサムウェア攻撃グループは時間とモチベーションに恵まれています。彼らは常に進化を続け、追いかけてくる最新技術に対応しています」と付け加えました。
「過去1年間で、EDRなどのテクノロジーの普及により、攻撃者がマルウェアを仕掛ける前に特定できるようになり、ランサムウェア集団はより迅速に行動し、身を隠すための努力を強めるようになりました。このことは、非常に顕著に表れています。組織やMSPは、今日の犯罪者を出し抜くために、さらなるサポートと継続的な対応を必要としています。」
小規模なランサムウェア集団が活発化している
最も活発な上位15グループ以外の小規模な組織によるランサムウェア攻撃の割合は、昨年25%から31%に増加しました。これは、経験の浅い攻撃者にとってランサムウェア攻撃を仕掛けることがより容易になっていることを示しています。
2024年1月、英国国立サイバーセキュリティセンターは、AI技術の新たな利用によって参入障壁が低下したことにより、ランサムウェアの脅威がさらに高まると警告しました。例えば、Google Cloudのアナリストは、ランサムウェアの交渉を行うコールセンターで生成AIが活用される可能性があると述べています。
マルウェアバイツの報告書では、また、主要なランサムウェア・アズ・ア・サービスグループであるLockBitが犯行声明を出したランサムウェア攻撃の割合が、個別の攻撃の実行が増加したにもかかわらず、過去1年間で26%から20%に減少したことも明らかになった。
参照: ランサムウェア被害者の94%がバックアップを狙われている
2月に英国国家犯罪庁サイバー部門、FBI、および国際パートナーが、ランサムウェア・アズ・ア・サービスの大規模な店頭として使用されていたLockBitのウェブサイトへのアクセスを遮断することに成功したことで、LockBitの優位性は打撃を受けた可能性がある。
しかし、数日後、このグループは別のダークウェブアドレスで活動を再開し、世界的なランサムウェア攻撃の責任を主張し続けています。
2番目に活動的なランサムウェアグループであるALPHVも、2月にChange Healthcareに対して杜撰なサイバー攻撃を実行した後、空席を生み出しました。グループは2,200万ドルの身代金のうち、関係会社に支払われるべき金額を支払わなかったため、関係会社によってその事実が暴露され、ALPHVは法執行機関による乗っ取りを装い、活動を停止しました。
さらに、 WithSecureの最近のレポートによると、2023年に追跡した67のランサムウェアグループのうち、31は2024年第2四半期時点で活動を停止していることが明らかになりました。NCCグループのレポートでも、今年の6月と7月のランサムウェア攻撃が前年比で減少していることが指摘されており、専門家はこれをLockBitの混乱と関連付けています。
これらの観察は、 ALPHV やDispossessorのような法執行機関による摘発が、より定着したギャングに対しては効果的であると同時に、より小規模なグループに新たな機会をもたらしていることを示唆している。
マルウェアバイトのレポートの著者は、「ALPHVが消滅し、LockBitの将来が不透明な中、他の犯罪組織が仲間を引き入れ、ランサムウェアの支配勢力として彼らに取って代わろうとしているのは間違いない」と書いている。
参照:レポート:AIがサイバーセキュリティに与える影響
2024年に米国および世界でランサムウェアの標的となる主な業界
ランサムウェアは世界中で脅威が拡大しており、2023年には攻撃を受けた企業数が27%増加し、賠償額は初めて10億ドル(7億9,000万ポンド)を超えると予想されています。世界全体では、ランサムウェアによる被害額は2031年までに2,650億ドルを超えると予測されています。
Malwarebytesのレポートによると、サービス業界は最も深刻な影響を受けており、世界のランサムウェア攻撃の約4分の1を占めています。国家の重要インフラへの侵入は広範囲にわたる混乱につながる可能性があり、ランサムウェアの格好の標的となります。
5月、英国国家サイバーセキュリティセンター(NSC)とFBIを含む国際サイバー当局は、運用技術プロバイダーを標的としたサイバー攻撃について警告を発しました。この勧告は、2022年から2024年4月にかけて、水道、エネルギー、食品・農業関連企業に対する「悪意のあるサイバー活動の継続」を鑑みて発出されたものです。
参照:ハッカーが重要インフラに侵入する方法
報告書ではまた、世界全体のランサムウェア攻撃のほぼ半数が米国によるものである一方、教育分野に対する世界の攻撃の60%、医療分野に対する攻撃の71%は米国で引き起こされていることも明らかになった。
これは、高度に民営化され、したがって裕福な医療システムと高等教育機関、および組織に罰金を回避するために身代金を支払うよう圧力をかける HIPAA や FERPA などの厳格な規制に関係している可能性があります。
世界の製造業では、この分野でのソフトウェア支出の増加に伴い、ランサムウェア攻撃が前年比 71% 増加しました。
「したがって、最も可能性の高い説明は、おそらく業界内でのデジタル化の進展により、製造業で利用可能なターゲットの数が過去2年間で増加したということだ」と著者らは書いている。
2024年のランサムウェア攻撃者の戦術の変化
ThreatDown MDRチームは、LockBit、Akira、Medusaなどのランサムウェア集団が使用する「Living-off-the-land(土地寄生)」手法の増加に注目しました。「Living-off-the-land(土地寄生)」とは、攻撃中に標的環境にプリインストールされた正規のツールやソフトウェアを使用し、検知を逃れることです。
これにより、組織が既にセキュリティテスト済みの既存の機能を攻撃者が武器化できるようになり、マルウェアの全体的な複雑さが軽減されるだけでなく、検出と防御がより困難になります。Googleの子会社であるMandiantが発表したM-Trends 2024レポートでも、5月に「Living-off-the-Land」攻撃が増加したと指摘されています。
M-Trendsのレポートでは、世界の組織の平均滞在時間(攻撃者が標的の環境内で検出されないままでいる時間)が2022年の16日から2023年には10日に減少したことも明らかになりました。
Malwarebytes のレポートでも、攻撃のタイムラインが短縮されていることが示されています。ThreatDown Incident Response のデータでは、最初のアクセスからデータ暗号化までのランサムウェア攻撃チェーン全体が数週間から数時間に短縮されたことが示されています。
