Secureworksの脅威レポート、ランサムウェア滞留時間の中央値が4.5日から24時間未満に減少

ホーム
週刊BCN
ニュース
Secureworksの脅威レポート、ランサムウェア滞留時間の中央値が4.5日から24時間未満に減少

ニュース

Secureworksの脅威レポート、ランサムウェア滞留時間の中央値が4.5日から24時間未満に減少

2023/12/08 16:16

　Secureworksは12月6日、2023年サイバー脅威の実態（State of The Threat）レポートの分析で、ランサムウェアの滞留時間の中央値が4.5日から24時間未満に減少したと発表した。

　Secureworks Counter Threat Unit（CTU）によると、50％以上のランサムウェアインシデント対応事案で、侵入から1日以内にランサムウェアが展開されていた。サイバー脅威の実態（State of The Threat）レポートで確認された滞留時間の中央値は、わずか12カ月で、4.5日から1日未満まで急激に減少した。そのうち10％の事案では、侵入から5時間以内にランサムウェアが展開された。

　23年サイバー脅威の実態レポートは、22年6月から23年7月までのサイバーセキュリティ状況を調査。23年も22年と同じ攻撃グループが引き続き優勢だった。GOLD MYSTICのLockBitが依然としてグループの先頭に立ち、次に活発なグループであるGOLD BLAZERが運営するBlackCatのほぼ3倍の被害組織数を抱えている。

　また新たなスキームも登場し、多数の犠牲者が出ている。MalasLocker、8BASE、Akira（14位）はいずれも23年第2四半期からインパクトを与えた新規参入組織。8BASEは23年6月に暴露サイトに40近くの被害組織を掲載したが、これはLockBitよりわずかに少ないだけだった。分析によると、被害組織の一部は22年半ばまでさかのぼるが、同時にダンプされていた。23年4月末からZimbraサーバーに対するMalasLockerの攻撃では、5月に暴露サイトで171の被害組織が出た。今回のレポートでは、ランサムウェア攻撃の成功率について暴露サイトの活動から実際に判明していることを調査しているが、それは見かけほど単純ではないという。

　レポートはまた、23年4月から7月までの1カ月当たりの被害組織数が、19年に暴露型攻撃が登場して以来、最も多かったということも明らかにしている。月間の被害組織数が過去最高となった23年5月に暴露サイトに投稿された被害組織数は600で、これは22年5月の3倍に相当する。

　顧客がSecureworksのインシデント対応担当者と連携したランサムウェア対応で観測した三つの最大の侵入手法は、脆弱性のスキャン・悪用（32％）、窃取した認証情報の利用（32％）、フィッシングメール経由で配布したマルウェアの利用（14％）だった。

　脆弱性のスキャン・悪用には、Shodanなどの検索エンジンや脆弱性スキャナを介して潜在的に脆弱なシステムを発見し、特定の脆弱性を悪用しシステムに侵害しようとすることが含まれる。最も広く悪用された上位12件の脆弱性のうち、58％のCVEは22年よりも前である。さらに古い脆弱性（CVE-2018-13379）も、21年と20年の広く悪用された上位15件に入っている。

　今回のレポートは、中国、ロシア、イラン、北朝鮮に属する国家支援の攻撃グループの重要な活動と傾向も調査。地政学は依然として国家支援による攻撃グループ全体の主な原動力となっている。

　中国は、その関心の一部を東欧に移行する一方、台湾やその他の近隣諸国にも引き続き重点を置いている。同国は、サイバー諜報活動での隠蔽工作をさらに重視する傾向を強めており、これまでの「Smash-and-Grab（ショーウィンドウ破りの強盗）」という評判から一変した。Cobalt Strikeなどの商用ツールや中国のオープンソースツールを使用することで、帰属のリスクを最小限に抑え、侵入型ランサムウェアグループの活動と融合している。

　イランは、依然として反体制活動、アブラハム合意の進展妨害、核合意の再交渉に向けた西側の意図に焦点を当てている。イランの主要情報機関である情報安全保障省（MOISまたはVAJA）とイスラム革命防衛隊（IRGC）は、共に請負業者のネットワークを利用して攻撃的なサイバー戦略を支援している。ペルソナ（本物の人物になりすます、または作成した架空の人物になりすます）の使用は、イランの攻撃グループ全体で重要な戦術となっている。

　ウクライナ戦争は依然としてロシアの活動の焦点となってきた。攻撃は、サイバー諜報活動と破壊活動の二つに分類される。今年は、ロシアの敵対者とみなされる組織を標的とする愛国心にあふれたサイバーグループの数が増加した。Telegramは攻撃者にとって、採用活動、標的の発表、攻撃の成功アピールに最適なソーシャルメディア／メッセージングプラットフォームとなっている。信頼できるサードパーティーのクラウドサービスを、悪意をもって使用することがロシアの攻撃グループの活動に頻繁に組み込まれている。

　北朝鮮の攻撃グループの目的は、サイバー諜報活動と孤立した政権のための外貨獲得という二つに分類される。AppleJeusは、北朝鮮の金銭窃盗活動の基本的なツールとなっており、Ellipticによると、北朝鮮の攻撃グループは17年5月から23年5月までに23億米ドルを窃盗した（このうち30％が日本からのもの）。