ランサムウェアの状況は、量的には変化していませんが、SecureWorksの研究者によると、2022年5月と6月のインシデント対応において、ランサムウェア攻撃の成功率が低下したとのことです。しかし、これについて結論を出すにはまだ時期尚早です。ランサムウェア攻撃の成功率の減少には、ウクライナ戦争によるランサムウェア攻撃者への混乱、ランサムウェア運営者への摩擦を狙った経済制裁、そしてGold Ulrickのランサムウェア・アズ・ア・サービス事業であるContiの終焉など、いくつかの理由が考えられます。
2022年のランサムウェアのトレンド
研究者らはまた、サイバー犯罪者が法執行機関の捜査を緩和するために、大企業よりも小規模な組織を攻撃する新たな傾向が現れているのではないかとも考えている。
参照:パスワード侵害:ポップカルチャーとパスワードが混ざらない理由(無料PDF)(TechRepublic)
一方、ネットワーク防御側は、ランサムウェアに対する防御を成功させるための機会が減っていると感じています。この機会とは、最初の侵害からランサムウェアの展開、そしてデータの暗号化までを指します。2022年には、この機会の中央値は4.5日で、2021年の5日に比べて減少しています。また、平均滞在時間は2021年が22日で、2022年の11日に比べて減少しています。これは、ランサムウェア運用者が時間管理をより効率的に行い、侵害されたシステムで無駄な時間を過ごす時間が以前よりも少なくなっていることを意味します。
こうした攻撃に対する最も強力な対策は、もちろん、追加のペイロードが展開される前、および攻撃者が横方向の移動操作を開始する前に、最初の侵害を防止または検出することです。
侵害の主な初期ベクトルは、当然のことながら、リモート サービスの悪用と資格情報の悪用です (図 A )。
図A
ランサムウェアの運営者は、Rust や Go プログラミング言語で開発されたクロスプラットフォーム マルウェアを使用することが増えています。これらの言語では、コードを変更することなく、複数の異なるプラットフォームでマルウェアをコンパイルできます。
「ハッキング・アンド・リーク」攻撃も依然として脅威
一部のサイバー犯罪グループはランサムウェアの使用を控えています。代わりに、システムに侵入して機密情報を盗み出し、身代金を要求します。身代金が支払われない場合、データは公開されます。
この種の攻撃を行うグループは、通常、インターネットに接続されたVPNサービスを介してシステムに侵入します。これらのサービスでは、脆弱性を悪用したり、脆弱な認証情報や盗難された認証情報を使用したりする可能性があります。システムに侵入すると、オペレーティングシステムのネイティブツールを利用して攻撃を実行することが多く、そのため検出が困難になります。
最大の初期侵害ベクトル:リモートサービスの悪用
SecureWorksによると、2021年には、デバイス、サーバー、サービスなど、インターネットに接続されたシステムの脆弱性を悪用する攻撃が、最も一般的な初期アクセスベクトル(IAV)となりました。脅威アクターは、システムへの侵入に役立つ可能性のあるあらゆる脆弱性を利用する傾向があり、一方で防御側はパッチ適用が遅れる傾向があります。
最も危険な脆弱性は、認証なしでリモート コード実行を許可する脆弱性です。
研究者らはまた、エクスプロイトは変更されて検出を逃れる可能性があるため、防御の観点からは、エクスプロイトではなく脆弱性を検出することの方が興味深いと指摘している。
インフォスティーラーおよびローダーマルウェア
システムにさらなるマルウェアを埋め込む機能を備えたローダーマルウェアである Emotet の復活は、法執行機関がインフラを停止させた後でも、一部のサイバー犯罪集団が執拗に活動できる可能性があることを示しました。
ローダーは、感染の初期段階で追加のマルウェア(多くの場合、ランサムウェアやインフォスティーラー)をインストールするために使用されるソフトウェアです。Bumblebeeは、Cobalt StrikeやMetasploitのペイロード、さらには新しいSliverフレームワークのペイロードをドロップするために使用される、急速に増加している脅威の例として挙げられていますが、他にも効率的なローダーはいくつか存在します。
Infostealer マルウェアは、有効な資格情報を収集するためによく使用され、その後、Genesis Market、Russian Market、2easy などのサイバー犯罪者の地下マーケットで販売されます。
Genesisマーケットは2018年から活動しており、被害者のコンピュータへのアクセスを販売しています。このアクセスは認証情報の窃取に繋がります。各アクセスには、マシン上で利用可能な認証情報と、サイバー犯罪者が被害者のブラウザを複製できるカスタムボットソフトウェアがリストされています(図B)。
図B
研究者によると、現在、主なインフォスティーラーマルウェアファミリーは、RedLine、Vidar、Raccoon、Taurus、AZORult です。
ドライブバイダウンロードは今でも行われている
ドライブバイダウンロードは、侵害された Web サイトや詐欺的な Web サイトにアクセスして、疑いを持たないユーザーにマルウェアをダウンロードさせるために使用される手法です。
例えば、脅威アクターのGold Zodiacは、検索エンジン最適化(SEO)ポイズニングを多用し、公開ブログ投稿や侵害されたWordPressサイトを多層的に利用して、Googleの検索エンジン検索結果の上位に感染リンクを表示させます。ユーザーがこれらのサイトにアクセスすると、GootLoaderをダウンロードするように誘導され、さらにランサムウェア配信用のCobalt Strikeペイロードがダウンロードされます。
ビジネスメール詐欺
ビジネスメール詐欺(BEC)は、2022年もランサムウェアと並んで大きな脅威であり続けます。FBIは2021年の損失が24億ドルであると報告しています。
SecureWorks の分析によると、2022 年上半期の攻撃件数は 2021 年の同時期と比較して 27% 増加しており、インシデントでは依然としてほぼ同じシンプルだが効果的な手法が使用されていることが明らかになりました。
攻撃者が最もよく使う手口は、標的企業の経営者や取締役になりすまし、様々なソーシャルエンジニアリングの手法を用いて、自らが所有する銀行口座への電信送金を企てることです。攻撃者は通常、企業のメールアカウントを乗っ取り、メールが本物らしく見えるように仕向けます。
サイバースパイ活動は静かに続く
国家が支援するサイバースパイ活動は継続しており、2022年にはそれほど多くの新しい手法は導入されなかった。これは、攻撃者がその任務を成功させるのにそれほど高度な技術を必要としないと考えられるためだ。
中国の脅威アクターは、主要なマルウェアとしてPlugXとShadowPadを主に使用しており、DLLサイドローディングを用いてマルウェアをインストール・実行することも多い。一部のアクターは、メモリ上の攻撃手段を主に利用し、侵害したハードドライブ上の攻撃手段を減らすことで、攻撃手法のレベルを上げている。
イランは、国内外の反体制派に加え、イスラエルをはじめとする中東諸国を標的にし続けています。2021年と2022年には、一部の脅威アクターとイラン政府との結びつきが強まりました。技術的な観点から見ると、イランのアクターの多くはDNSトンネリングを回避策として利用しています。一部のアクターによるランサムウェアの使用も確認されていますが、これは金銭的利益よりも混乱を引き起こす目的で利用されている可能性が高いと考えられます。
ロシアのサイバースパイ活動能力は大きな変化はなく、依然として西側諸国、特にNATO同盟国を標的としている。ウクライナとの戦争勃発以来、ロシアによる高度な破壊力の行使が予想されていたものの、SecureWorksによると、その試みは紛争に大きな影響を及ぼしていない。しかし、ウクライナの国家CERT(コンピュータ緊急対応チーム)であるCERT-UAの報告書は、ロシアによるウクライナへの攻撃が着実に増加していることを示している。
北朝鮮の脅威アクターは依然として金融攻撃、特に暗号通貨への攻撃に重点を置いています。2022年3月には、悪名高いLazarusの脅威アクターが、イーサリアムベースの暗号通貨ウォレットであるRoninのバリデータノードの一部に侵入し、5億4000万ドル以上の資金を盗み出すことに成功しました。
MFAバイパス
複数の脅威アクターが、多要素認証 (MFA) をまだ使用していないアカウントを侵害し、独自のデバイスを追加して、MFA が有効化されてもそれを回避できるようにしました。
依然として広く使用されているもう一つの手法は「プロンプトボミング」です。これは、攻撃者が標的に対してログイン試行を何度も繰り返し、多数のMFAプロンプトを生成する手法です。攻撃者は、ユーザーが気を散らされたり、苛立ったりして、そのうちの1つを受け入れることを期待します。
攻撃者は、ユーザーに電話をかけ、さまざまな戦略を使用してユーザーに対象のサービスでの認証を検証させることにより、ソーシャル エンジニアリング手法を使用して MFA を回避する可能性もあります。
その他の方法としては、透過的なリバースプロキシを使用したフィッシングキットを使用して、資格情報とセッション Cookie をリアルタイムで収集し、MFA を回避することが考えられます。
開示:私はトレンドマイクロに勤務していますが、この記事で述べられている意見は私自身のものです。
