サイバーセキュリティ企業Trellixが本日発表した四半期ごとの脅威レポート「2022年夏」によると、ランサムウェア集団と国家の境界線は2021年第4四半期から2022年第1四半期にかけて引き続き曖昧になっている。特に、サイバー犯罪集団Contiは、クレムリンの希望リストに基づいて標的を選定している可能性がある。
2月にロシアへの忠誠を公に表明したコンティ氏は「政府がサイバー犯罪組織を指導していることを確認したようだ」と報告書は述べている。
ロシアでは、同じ期間に報告された事件が490%増加した。
「戦争中、ロシアによるウクライナなどの国を狙ったサイバー活動が増加しており、ロシアを狙った事件の急増は反撃によるものと考えられる」と、トレリックスの主任科学者兼上級主席エンジニアであるクリスティアン・ビーク氏は述べた。
米国は全体の35%で、最も多くのインシデントを報告しました。注目すべきは、ウクライナ侵攻と戦争開始以降、新たなマルウェアツールの導入が進んでいないことです。これは良いニュースのように思えるかもしれませんが、この状況が変化するのには時間の問題かもしれません。
「敵対者は自分たちが厳重に監視されていることを認識しています。ウクライナ紛争中に実環境で新たな戦術が観察されなかったことは、ツールが抑制されていることを示しています」とビーク氏はプレスリリースで述べています。「世界中の脅威アクターは、エスカレーションに備えて新たなサイバー兵器を配備する準備を整えており、組織は警戒を怠ってはなりません。」
明るい面としては、攻撃者が要求する身代金全額を支払わなければならない組織が減少していることが報告書で明らかになった。
ランサムウェア攻撃の標的となる業界
ランサムウェア攻撃の標的となった業界としては、ビジネス サービス プロバイダー (64%) と通信業 (53%) が最も多かった。
「通信業界は当社のデータで高い評価を受けることが多い」とビーク氏は述べた。「だからといって、この業界が標的にされやすいというわけではない」
これは、通信業界にはIPアドレス空間を所有するISP(インターネットサービスプロバイダー)が含まれているためです。ISPのIPアドレス空間からの検出は通信業界の検出として表示されますが、その検出はISPのクライアントで、全く異なる業界のものである可能性があります。
ヘルスケア業界は依然として脅威にさらされている。ただし、レポートでは、攻撃者はIVポンプなどの医療機器を狙っていないと指摘している。「…だからといって安心できるわけではない」
最も多く使用されているランサムウェアのクエリとファミリー
Cobalt Strikeは、2022年第1四半期の米国のランサムウェア検索上位10件のうち32%で使用されました。次に多かったツールは、RCLONE(12%)、BloodHound(10%)、Bazar Loader(10%)でした。
報告書によると、ランサムウェアファミリーの中で最も蔓延していたのはLockbitで、2022年第1四半期の米国における上位10のクエリのうち26%で使用され、Conti(13%)、BlackCat(11%)、Ryuk(10%)を上回った。
参照:Splunkのランサムウェア暗号化速度テストでLockBitがREvilとRyukに勝利(TechRepublic)
全体的に、ランサムウェア ファミリーの検出数は 2021 年第 4 四半期から 2022 年第 1 四半期の間に大幅に減少しました。Lockbit は 44%、Conti は 37%、Cuba は 55% 減少しました。
重要インフラへの脅威が増大
産業用制御システムや建物のアクセス制御システムは古く、更新頻度も容易でないため、ますます標的になりやすくなっています。業界全体でアクセス制御ソリューションとして広く使用されている制御パネルであるHID Mercuryは、特に脆弱です。
Trellixは、4件のゼロデイ脆弱性と、共通脆弱性情報(Common Vulnerability and Exposures)として公開されたことのない4件のパッチ適用済みの脆弱性を発見しました。これらの脆弱性が侵害された場合、ハッカーはコードの実行、システムの再起動、遠隔からのドアの施錠・解錠といった操作を、管理ソフトウェアによる検出を回避しながら実行できるようになります。
「IBMが2021年に実施した調査によると、物理的なセキュリティ侵害にかかる平均コストは354万ドルで、侵害の特定には平均223日かかります」とTrellixのレポートは述べています。「施設のセキュリティと安全を確保するためにアクセス制御システムに依存している組織にとって、リスクは極めて大きいのです。」
メールセキュリティのトレンド
報告書によると、悪意のあるメールのほとんどには、ユーザーを認証情報を盗むウェブページにリダイレクトしたり、マルウェアをダウンロードさせたりするためのフィッシングURLが含まれています。また、ドキュメントや、インフォスティーラーやトロイの木馬などの実行ファイルといった悪意のある添付ファイルが添付されたメールもよく見られました。
2022 年第 1 四半期に展開された一般的なマルウェア ファミリは、Phorpiex、Electron Bot、RedLine Stealer、Agent Tesla、Remcos RAT でした。
脅威にさらされる国々
Trellixの顧客がいる国では、2022年第1四半期の国家活動の31%がトルコをターゲットとしており、イスラエルが18%、英国が11%、メキシコが10%、米国が8%と続いています。
この四半期で最も活発な国家攻撃者はAPT36で、これはパキスタン政府の支援を受けている可能性が高い高度な持続的脅威(APTS)であり、主にインドの防衛機関を標的としている。ビーク氏によると、これに続いて中国のAPT27、ロシアのAPT28およびAPT29が活動している。
「組織は、最新の脅威からリアルタイムで身を守るために、サイバー攻撃の蔓延に警戒を怠ってはなりません」とビーク氏は述べています。「特に国家支援型グループの標的となる可能性が高いと判断した組織は、ランサムウェアのTTP(戦術、技術、手順)を注意深く監視することを強く推奨します。」
レポートについて
この脅威レポートは、Trellixの10億を超えるセンサーネットワークから得られる独自のデータ、オープンソースインテリジェンス、そしてランサムウェアや国家による活動といった蔓延する脅威に関するTrellix Threat Labsの調査結果に基づいています。ファイル、URL、IPアドレス、不審なメール、ネットワーク挙動、その他の兆候が検出され、Trellix XDRエコシステムを通じて報告されると、検知が行われます。
