This post is also available in: English (英語)

概要

Unit 42 は、脅威の活動状況を把握するため、ランサムウェアや恐喝情報のリーク サイトを緊密に監視しています。2024 年上半期に 53 の専用リーク サイトから侵害発表を調べたところ、1,762 件の新規投稿が見つかりました。平均すると、1 か月あたり約 294 件、1 週間あたり約 68 件の投稿になります。私たちがリーク サイトを監視した 53 のランサムウェア グループのうち、6 つのグループが観測された侵害の半数以上を占めていました。

私たちはこの 2 月、ランサムウェア リーク サイトに投稿された被害組織とされる組織の数が前年比 49% 増加したことを報告しました。これまでのところ、2024 年には、2023 年上半期と 2024 年上半期を比較すると、さらに 4.3%の増加が見られます。2023 年に観測された活動レベルの上昇は「たまたま」ではありませんでした。

Ambitious Scorpius (BlackCat の配布グループ) や Flighty Scorpius (LockBit の配布グループ) などのグループによる活動は、法執行機関の活動により大幅に減少しました。しかし、Spoiled Scorpius (RansomHub の配布グループ) や Slippery Scorpius (DragonForce の配布グループ) など、私たちが追跡しているほかの脅威グループもこの空白を埋める争いに加わっています。

ランサムウェアの影響を最も受けたセクター (業界) は、製造業 (観測された投稿の 16.4%)、ヘルスケア (9.6%)、建設業 (9.4%) でした。製造業同様、ヘルスケアは中断やダウンタイムに非常に強い影響を受けるセクターです。

2024 年上半期の被害組織としては、米国国内の組織が圧倒的多数でした。917 件の米国組織の侵害が発表されており、これは総攻撃数の 52% を占めています。影響の強かった順に、残りの上位 10 の地域は、カナダ、英国、ドイツ、イタリア、フランス、スペイン、ブラジル、オーストラリア、ベルギーでした。

新たに公開された脆弱性はランサムウェア攻撃の遂行上大きな役割をしめており、攻撃者らはこうした機会をすかさず捉えていました。脅威アクターらは定期的に脆弱性を狙って被害組織のネットワークにアクセスし、権限を昇格し、侵害環境内でラテラル ムーブを行います。本稿に 2024 年上半期にもっとも頻繁に悪用されていた脆弱性の一部をまとめます。

パロアルトネットワークスのお客様は、Prisma Cloud などの Network Security ソリューションと Cortex 系列の製品により、ランサムウェアからより強力に保護されています。

侵害の懸念があり弊社にインシデントレスポンスに関するご相談をなさりたい場合は、こちらの問い合わせフォームからご連絡いただくか、infojapan@paloaltonetworks.com まで電子メールにてお問い合わせください (ご相談は弊社製品のお客さまには限定されません)。

関連する Unit 42 のリサーチ サイバー犯罪ランサムウェア
本稿に名前を記載したグループ (Unit 42 による分類) Ambitious Scorpius, Anemic Scorpius, Bashful Scorpius, Burning Scorpius, Chubby Scorpius, Dark Scorpius, Drowsy Scorpius, Flighty Scorpius, Muddled Libra, Mushy Scorpius, Screaming Scorpius, Shifty Scorpius, Slippery Scorpius, Spicy Scorpius, Spikey Scorpius, Spoiled Scorpius, Stumped Scorpius, Wandering Scorpius, Whiny Scorpius
名前を記載したグループ  Alpha, ALPHV, AvosLocker, Black Basta, BlackCat, Blackout, BreachForums, CL0P, DoNex, DragonForce, GhostSec, Hunters International, Karakurt, KelvinSecurity, LockBit, Losttrust, LukaLocker, MyData, NoEscape, Nokoyawa, Qilin, Quilong, RansomHub, Scattered Spider, SocGholish, Trisec, Volcano Demon
本稿で言及した CVE CVE-2018-13379, CVE-2020-1472, CVE-2020-1472, CVE-2024-1708, CVE-2024-1709, CVE-2024-26169, CVE-2024-27198, CVE-2024-4577
本稿で言及した主な産業 (セクター) ヘルスケア、製造、建設

2024 年上半期のリーク サイト動向

私たちのチームは、ダーク ウェブ経由でしかアクセスできないことの多い専用リーク サイト (Dedicated Leak Site: DLS) 上のデータを監視しています。本分析全体を通じ、私たちは 2024 年上半期 (1H24) と 2023 年上半期 (1H23) を比較しました。これは、年次休暇や旅行シーズンなど、脅威活動に影響しうる定期イベントの季節変動を考慮してのことです。

主な調査結果:

  • 侵害の発表数は前年比 4.3% 増加
    • 2024 年上半期: 53 サイトから 1,762 件の侵害発表があり、上位 6 グループが侵害の半数以上を占めていた
    • 23 年上半期: 1,688 件の侵害発表があった
  • 2024 年上半期のリーク サイト投稿数は週平均 68 件
  • 複数の法執行機関による妨害や逮捕にもかかわらず、ランサムウェア リーク サイト上の発表数は増加し続けている
  • LockBit のリーク サイトは依然として非常に活発で誤解を招く情報や古いデータを投稿している
  • 2024 年 2 月、リーク サイトに投稿された被害組織が前年比 49% 増加したと報告。これまでの 2024 年の分析では、ランサムウェア グループは高い活動レベルを維持しており、前年比較でさらなる活動増加を示す
2023 年と 2024 年の 1 月から 6 月までのリーク サイト投稿数を比較した棒グラフ。各月に投稿数を示す 2 つの棒グラフ (1 つは 2023 年用、もう 1 つは 2024 年用) が表示されています。
図 1. ランサムウェア リーク サイトの月別投稿数比較

図 1 は、2023 年の最初の 6 か月間と 2024 年の最初の 6 か月間をそれぞれ比較した、月ごとの数値の内訳を示しています。

2024 年 6 月にはランサムウェア リーク サイト投稿数の著しい減少を観測しました。この減少は主に、LockBit と 8Base のリーク サイト活動の大幅な減少によるものです。

脅威グループの活動

リーク サイトのデータによると、2024 年に入ってからはこれまで 53 のランサムウェア グループが活動していますが、上位 6 つのランサムウェア グループが侵害の総数の半分強を占めていました。

Unit 42 ではある命名システムを使い、グループごとに星座と修飾子をペアにした名前を指定して追跡しており、それらの名称はこちらの追跡中の脅威アクター グループ マスターで一般的別名とともにリストで管理しています。サイバー犯罪グループの詳細については、以下の図をご覧ください。

命名に関する注意事項

「Scorpius」という星座名は、ランサムウェア活動で知られるグループを指定するために私たちが使っている名前です。
通常、ランサムウェア グループはリーク サイトとランサムウェアに独自の名前をつけていますので、これらの悪意のあるツールを指す場合は明確化のためにそれらの呼称を使います。
もととなるグループに永続的な名前を付ける利点の 1 つは、ランサムウェア グループがブランド名を変更しても、一貫性を持たせられることです。
このセクション全体を通じ、もとになるグループを参照する場合は私たちの命名システムを使い、ランサムウェア自体に言及する場合は対象グループが使っている名前を使います。

図 2 に示すように、2023 年に最も活発だった 6 つのランサムウェア グループに含まれていた 4 つのランサムウェア グループは、今年もこれまでのところ最も活発なグループに含まれています。2024 年上半期は、Ambitious Scorpius (ALPHV/BlackCat の配布グループ) と Chubby Scorpius (CL0P の配布グループ) が上位ランキングから脱落しました。これらのグループは、Dark Scorpius (BlackBasta の配布グループ) と Transforming Scorpius (Medusa の配布グループ) に取って代わられました。

この画像はさまざまなランサムウェア グループの投稿数を比較したグラフです。左側は 2023 年全体、右側には 2024 年前半のものです。LockBit は両年同じ順位で、ほかのグループは新規参入か、ランクが上っています。順位の変動は色分けされた矢印で示されており、各グループには異なる色が割り当てられています。
図 2. 投稿数別に見た上位 6 グループのランサムウェア グループの変動 (2023 年〜 2024 年上半期)

脅威アクターらは定期的に脆弱性を狙って被害組織のネットワークにアクセスし、権限を昇格し、侵害環境内でラテラル ムーブを行います。今般の脅威情勢はゼロデイなどの深刻な脆弱性で溢れており、脅威アクターの取れる選択肢は豊富です。最新の Unit 42 Incident Response Report (Unit 42 インシデント対応レポート) によれば、2023 年にはフィッシングなどほかの一般的な手段を押しのけて脆弱性が初めて主たる初期アクセス手段となりました。

この傾向は 2024 年も続くでしょう。以下、2024 年上半期にランサムウェア グループによる悪用がとくに目立った脆弱性を一部紹介します。組織の皆さんには強力な脆弱性管理プログラムを実装することで、以下に示すような悪用頻度の高い既知の脆弱性に対応することをお勧めします。

  • CVE-2018-13379 - Fortinet SSL VPN
  • CVE-2024-1709 - ConnectWise ScreenConnect
  • CVE-2024-1708 - ConnectWise ScreenConnect
  • CVE-2024-27198 - TeamCity
  • CVE-2024-4577 - PHP-CGI script engine
  • CVE-2020-1472 - Netlogon Remote Protocol
  • CVE-2024-26169 - Microsoft Windows Error Reporting Service

法執行機関による取り締まりと妨害

ランサムウェア情勢は刻々と変化しており、2024 年の上半期には、活動をひっそり縮小したり完全に停止したりした脅威アクターもいました。ただし、有名なランサムウェア グループの一部はかなり目立ったかたちで姿を消しています。

法執行活動は、2024 年も引き続きランサムウェア脅威情勢に広範な影響を及ぼしています。今年上半期の著名ランサムウェア グループ、フォーラム、個人のテイクダウンは犯罪エコシステム全体に波紋を広げました。

2024 年上半期の法執行活動のハイライトは次のとおりです。

法執行機関によるインフラ押収は今に始まったことではないですが、これまでの押収よりも影響が大きかったようです。法執行機関は 2024 年もインフラの押収と逮捕を継続していますが、こうしたランサムウェア グループとアフィリエイト関係にある組織も標的にし始めています。これらの行為がランサムウェア グループにさまざまな影響を与えています。

テイクダウン、復旧、出口詐欺: Ambitious Scorpius

ALPHV/BlackCat ランサムウェアで知られる Ambitious Scorpius は、2023 年のリーク サイトデータでは 2 番目に活発なグループでした。2023 年 12 月の FBI による同グループの活動妨害後、多くの人が「このグループは閉鎖されるか新たなランサムウェアとしてブランド名を変更する可能性がある」と予測していました。

2024 年 3 月までに、Ambitious Scorpius グループは ALPHV/BlackCat のソースコードを販売し、FBI がサイトとインフラを押収したと見せかけた出口詐欺 (アフィリエイトから集めた資金の持ち逃げ) を働きました

テイクダウンから詐欺的主張、そして新グループへ? : Flighty Scorpius

2024 年 2 月の法執行機関による取り締まりの後、Flighty Scorpius は新たなインフラを立ち上げ、LockBit 3.0 ランサムウェアでさらに多くの被害組織を狙い始めました。

活動再開後、この脅威アクターはリーク サイトに新たな被害組織に関し、疑わしい主張を掲載しました。それらは古い侵害であるか、誇張であるか、あからさまな捏造のようでした。例えば 2024 年 6 月、このグループは米国連邦準備 (US Federal Reserve) に侵入したと主張しましたが、その後の調査でそれが米国に拠点を置くある一銀行のことだったことが分かりました。

5 月 7 日、国家犯罪対策庁 (NCA) は国際的協業により、Flighty Scorpius のリーダーの正体が明らかになったと発表し、同人物の渡航や財務に対するさまざまな制裁を課しました。LockBitSupp として知られるこのリーダーは、ロシア国籍の Dmitry Khoroshev とされています。NCA は同グループのほかのアフィリエイトに対しても逮捕状を発行しています。

押収、逮捕、引退、移行: BreachForums

犯罪者が盗んだデータや侵入したネットワークへのアクセスを売買する犯罪フォーラムである BreachForums はこれまで幾度も名称変更やテイクダウンを経験しています。2024 年 5 月、法執行機関が BreachForums を差し押さえ、Baphomet の名で知られる管理者を逮捕しました。

このサイトは ShinyHunters という管理者の下で、2024 年 5 月のテイクダウンから数週間後に復活しました。この ShinyHunters というアカウントは、私たちが Bling Libra として追跡しているグループ、ShinyHunters ハッキング グループと関係している可能性があります。2024 年 6 月、BreachForums の ShinyHunters アカウントのユーザーは引退したとされ、このフォーラムは新しい管理者に引き継がれました

アフィリエイト主要メンバーとリーダーの逮捕: Muddled Libra

2024 年 1 月、米国の法執行機関は Muddled Libra の著名なメンバーを逮捕しました。逮捕されたのは Noah Michael Urbanという人物で、容疑は通信詐欺、個人情報詐欺、暗号通貨窃盗などです。2024 年 6 月、共同法執行活動の結果、Muddled Libra のリーダーと目される 22 歳の英国市民がスペインで逮捕されました。法執行機関は 7 月には別のリーダーを逮捕しています。これらの逮捕がグループの能力に影響を及ぼすかどうかは今の段階ではまだ分かりません。

ランサムウェアから引退か: GhostSec

2024 年 5 月のインタビューで、GhostSec はランサムウェア オペレーションを終了してハクティビズムに復帰すると発表しました。GhostSec は GhostLocker RaaS のオペレーションを Stormousランサムウェア グループに引き継ぐと報じられています

このグループは、ISIS のようなテロ組織を狙って妨害活動を行うと公言し、約 10 年前に設立されました。彼らは、ハクティビズム活動への資金提供手段として 2023 年 10 月に GhostLocker RaaS を開発しました。

このグループはヘルスケアや教育セクターの標的化を厳しく禁じていました。GhostSec はこれらのセクターの組織がランサムウェア被害に遭った場合、被害緩和に動くと述べていました。同グループのリーダー Sebastian Dante Alexander は「[The whole point of GhostLocker was to target] higher scale corporations, which I believe — to an extent — are all greedy. (GhostLocker の肝は規模の大きい企業を狙うことにある。そうした企業はどこも — ある程度は — 欲深いと思うから)」と述べていました。

ランサムウェア五大ファミリーのメンバーの 1 つである GhostSec は以前、五大ファミリーの別のメンバーである Stormous ランサムウェア グループと共同で攻撃を仕掛けたことがあります。ランサムウェア界隈から足を洗うため、GhostSec は GhostLocker のソースコード (バージョン 3) と残りのランサムウェア オペレーションを Stormous に移管すると発表しました。同グループは、今回の移管の目的は、出口詐欺なしで完全に足を洗うことだと述べています。しかしながら、ここでは完全な足抜けと言いながら、被害組織の脅迫に使ったランサムウェアの使用を終了でなく移譲している点は心に留めておくべきでしょう。

そのほかのランサムウェア グループ

CL0P ランサムウェアを配布する Chubby Scorpius は、2023 年は 3 番目に活発なランサムウェア グループでしたが 2024 年は活動が激減しました。6 月現在、このグループは、弊社のリーク サイト データにおける投稿全体の 0.75% 未満を占めるにとどまっています。

2024 年にリーク サイトで活動していないほかのランサムウェア グループとしては、Bashful Scorpius (Nokoyawa ランサムウェアの配布グループ)、KelvinSecurity、Losttrust、Mushy Scorpius (Karakurt の配布グループ)、Spicy Scorpius (AvosLocker の配布グループ)、Stumped Scorpius (NoEscape の配布グループ)などがあります。

これらのグループの活動停止の要因は絶えず進化するサイバー犯罪市場に求められるのかもしれませんが、それ以外の要因も、彼らの見かけ上の活動停止に影響している可能性があります。最近の法執行機関によるランサムウェア グループの大規模なテイクダウンや、ランサムウェア アフィリエイトや BreachForums のような犯罪市場に対する法的追及が引き金となり、サイバー犯罪脅威アクターらの間で不信や恐怖が芽生えた可能性があります。

新興ランサムウェア グループ

さまざまなランサムウェア脅威アクター姿を消し、2024 年に入ってからほかのグループがその空白を埋めようと動き出しています。ここでは Unit 42 が 2024 年に追跡してきた新興ランサムウェア グループの一部を簡単に紹介します。最近のイベントからこれらのグループは皆さんのレーダーにも引っかかっているかもしれません。

このセクションで説明するグループは次のとおりです。

  • Spoiled Scorpius (RansomHub の配布グループ)
  • Slippery Scorpius (DragonForce の配布グループ)
  • Burning Scorpius (LukaLocker の配布グループ)
  • Alpha/MyData ランサムウェア
  • Trisec ランサムウェア
  • DoNex ランサムウェア
  • Quilong ランサムウェア
  • Blackout ランサムウェア

Spoiled Scorpius (RansomHub の配布グループ)

Spoiled Scorpdius は RansomHub という RaaS の背後にいるグループに私たちが付けた名前です。この RaaS は Russian Anonymous Market Place (RAMP) サイバー犯罪フォーラム上で 2024 年 2 月koley というアカウントにより初めて発表されました。このグループはおおむね日和見主義的ですが、キューバ、中国、北朝鮮、ロシア領土内の組織への攻撃を禁止しています。また同グループは非営利団体を標的にすることも禁止しています。Spoiled Scorpius は RAMP フォーラムからアフィリエイトを募集することで知られ、アフィリエイトの取り分を 90%、残りの 10% をグループの取り分として宣伝しています。

私たちは Unit 42 でのインシデント対応活動のなかで、同グループが検索エンジン最適化 (SEO) ポイズニングを通じて SocGholish マルウェア を配信し、それによって被害組織への初期アクセスを達成していたことを示す一連の攻撃イベント チェーンを観測しました。私たちは、SocGholish の背後にいるグループが、ランサムウェアを展開した Spoiled Scorpius のアフィリエイトに対し、感染させた被害組織のアクセスを販売したと評価しています。私たちはまた、Spoiled Scorpius が被害組織のシステムへのアクセスを利用して、オンプレミスとクラウド ストレージの両方からバックアップを削除したという証拠も見つけています。

RansomHub ランサムウェアは Golang と C++ で書かれています。Spoiled Scorpius は分散型サービス拒否 (DDoS) 攻撃や CVE-2020-1472 などの脆弱性を悪用して被害組織を侵害していました。このグループはまた、被害組織に嫌がらせの電話をかけ、身代金を支払うようさらに圧力をかけることもします。

2024 年 6 月のある記事は、2023 年が初認の Knight (Cyclops) と呼ばれる以前の RaaS と RansomHub との間にはつながりがあると述べています。Spoiled Scorpius は Ambitious Scorpius とも関係があるようです。

Slippery Scorpius (DragonForce の配布グループ)

Slippery Scorpius は、DragonForce ランサムウェアの背後にいるグループに私たちが付けた名前です。このグループは2023 年 11 月に初めて確認されました。Slippery Scorpius は 2024 年に、被害組織に直接電話をかけて脅迫し、録音した会話音声をリークしたことで悪名を馳せました。

多くのランサムウェア グループ同様、Slippery Scorpius はリーク サイトを使って二重恐喝を行い、支払いがなければ被害組織から盗んだデータは投稿されます。コードの類似性からすると、DragonForce ランサムウェアは LockBit 3.0 のリークしたソース コードを元にしているようです。

混同しないでいただきたいのは、Slippery Scorpius は、遅くとも 2021 年には登場していたマレーシアが拠点のハクティビスト グループ、DragonForce とは別ものであるということです。DragonForce ハクティビスト グループは、DragonForce ランサムウェアとは関係がないようです。

Burning Scorpius (LukaLocker の配布グループ)

もともと Volcano Demon と呼ばれていたグループですが、私たちは Burning Scorpius という名前で追跡しています。このグループは、LukaLocker という新しいランサムウェアの背後にいるグループです。2024 年 6 月以降、このランサムウェアは Windows と Linux の両方のシステムを暗号化してきました。

ほかのランサムウェア グループと異なり、Burning Scorpius はリーク サイトをホストしていません。その代わりこのグループは直接被害組織の幹部や IT リーダーにしつこく脅迫電話をかけ、被害組織から直接金銭をゆすり取ろうとします。

そのほかの新しいグループ

Alpha ランサムウェア (ALPHV/BlackCat ランサムウェア グループとは別ものであることに注意) は、2023 年 5 月時点ですでに活動が見られていて、そのリーク サイトは 2024 年 1 月に最初に登場しました。このリーク サイトのタイトルが MYDATA であることから、MyData がランサムウェア名ないし脅威アクターの識別子 として使われることもあります。彼らのリーク サイトは不安定で頻繁にオフラインになるようで、このグループが比較的新しく、経験が浅く、管理が緩いことを示唆しています。弊社のリーク サイト データによると、このグループは 2024 年の最初の 6 か月間に 9 つの被害組織を投稿しています。

Trisec ランサムウェア グループは 2024 年 2 月に出現したグループで、チュニジア政府と関係があると主張しています。彼らはとくに「チュニジア人のブラックハットしか雇わない」と述べており、このグループはリーク サイトや Telegram チャンネルを通じ、さまざまな職種を募集しています。このグループは「金銭と国家支援の両方の目的を持つグループで、さまざまなサイバー犯罪に手を染めている」と主張しています。これまでの被害組織像からは、標的とする業界や地域はいずれも日和見主義的であるようです。

DoNex ランサムウェアは 2024 年 3 月に初めて登場し、その最も古いファイル サンプルは 2 月まで遡ります。このグループは米国とヨーロッパの組織を標的とする、金銭目的の新しいグループです。Avast が復号ツールを開発し、被害を受けた組織がファイルを復元できるようにしています。

Quilong ランサムウェア グループは、2024 年初頭、ブラジルの 3 つの美容整形外科センターと自動車販売店を侵害したと主張しています。このグループは盗んだとするデータの一部をリーク サイトに掲載し、被害を受けた医療提供組織が患者を保護しそこなったと非難していました。

Blackout ランサムウェア グループは 2024 年 2 月下旬に初めて活動が見られたグループで、当初、リーク サイトでカナダ、フランス、ドイツの医療系組織を攻撃したと主張していました。このグループによるリーク サイトの投稿ではその後、メキシコを拠点とする通信会社とクロアチアの製造系組織への攻撃が示されています。

ブランド名の変更

出口詐欺を働いた Ambitious Scorpius がブランド名を変更して戻ってくる可能性があるため、私たちはその兆候が見られないかどうか監視を続けています。その場合、アフィリエイトを取り戻す戦略が必要になるでしょう。というのも、彼らの多くがすでにほかのランサムウェア グループのアフィリエイトになっているからです。

前述の Flighty Scorpius に対する法執行措置により、2024 年に同グループは衰退していきました。政府機関が 2024 年 5 月に同ランサムウェアのインフラをテイクダウンし、そのリーダーとされる人物に制裁を科しました。6 月にリーク サイト上で確認された侵害はわずか 7 件と前月比で大幅な落ち込みとなりました。

このグループは、活動再開の手段として、新たなランサムウェアとしてブランド名を変更する可能性があります。Flighty Scorpius のブランド変更の可能性はまだ残っていますが、LockBit ランサムウェアのかつての成功により、ほかのグループがすでに LockBit のコードベースに基づいた独自ランサムウェアを作成してしまっています。

例えば、2024 年 6 月に Brain Cipher という新しいランサムウェアが登場しましたが、研究によるとこれは LockBit 3.0 のコードをベースにしています。私たちはあるインドネシアの組織を標的とした攻撃で使われた Brain Cypher サンプルを分析しましたが、既存の LockBit 3.0 防止・検出シグネチャがこのサンプルに対しても有効でした。

影響を受けるセクター (業界) と地域

ランサムウェアの標的選定は今も日和見主義が多いですが、製造業などのセクターは依然、この手の攻撃にきわめて脆弱です。2023 年もそうでしたが、2024 年もこれまでのところ製造業がランサムウェアの影響を最も受けたセクターとなっています。その侵害件数は 289 件で、2024 年上半期の全ランサムウェア攻撃の 16.4% が製造業系組織に影響を与えていました。

ヘルスケアは 2023 年の 6 位から上昇し、2024 年上半期は 2 番目に影響を受けやすいセクターとなりました。製造業同様、ヘルスケアも業務への障害に非常に弱いセクターです。このセクターにはまた、インベントリ作成や保護が難しい技術やデバイスが数多く存在しています。

建設業は 24 年上半期に 3 番目に強く影響を受けたセクターです。全侵害件数の約 9.4% が建設関連組織に影響していました。

図 3 は、2024 年上半期にランサムウェア攻撃の影響を最も受けたセクターを表すグラフです。

セクター別に見たランサムウェア グループによる侵害件数を示す棒グラフ。上位 5 つの業界は、製造、ヘルスケア、建設、卸売・小売、専門サービスおよび法律サービスです。製造業の次では大きく件数が減っており、ハイテクの後も大幅な件数減少が見られます。
図 3. 2024 年上半期にランサムウェアの影響を最も強く受けたセクター

予想される通り、2024 年上半期、被害件数が圧倒的に多かったのは米国を拠点とする組織でした。917 件の侵害件数を数える米国の組織が、すべての攻撃の 52% を占めていました。残り上位 10カ国は、被害を受けた組織の件数順に、カナダ、英国、ドイツ、イタリア、フランス、スペイン、ブラジル、オーストラリア、ベルギーでした。下の図 4 に内訳を示します。

公開リーク サイトのデータに基づく国別のランサムウェア攻撃件数を示す棒グラフ。最も多いのは米国の 917 組織です。その後はカナダ (109)、英国 (96)、ドイツ (61)、イタリア (52)、フランス (51)、スペイン (44)、ブラジル (35)、オーストラリア (30)、ベルギー (21) と続きますが、ほかの国の件数は米国と比べてはるかに少なくなっています。
図 4. 2024 年上半期にランサムウェアの影響を最も強く受けた組織が拠点とする国

データとその出所

本稿の分析と情報は主に、公開された報告からの情報と、ランサムウェア リーク サイトからのデータに基づいています。

私たちのチームは、ダークウェブ経由でアクセスされることの多いこれらのサイトのデータを監視しています。ランサムウェア情勢の傾向を把握するため、2024 年上半期の 53 のサイトから発表された侵害をレビューしてまとめました。また私たちは、Unit 42 がインシデント対応を通じて培ったこれらのグループとの直接的な経験を活かし、被害組織ネットワーク内で見られるツールや手法について、理解を深めました。

今はリーク サイトを使って被害組織に圧力をかけるランサムウェア グループが大半なので、リサーチャーはこのデータをアクターらのランサムウェア活動傾向やレベルの特定に活かしています。ただし、リーク サイトのデータは必ずしも正確な情報を提供しているとは限らないので、防御側やリサーチャーはこれを慎重に使う必要があります。

脅威アクターは、支払いが早い被害組織をグループのリーク サイトから除外することがよくあります。さらに、脅威アクターは、データ ソースをグループのリーク サイト上で偽って伝えることがよくあります。

こうした欠点はありますが、このデータは傾向や振興グループ、脅威情勢から姿を消した脅威グループなどについて、貴重な情報を提供してくれます。

結論

本稿では 2024 年上半期のランサムウェアの傾向と重要なイベントを取り上げ、ランサムウェア リーク サイトに投稿されていた侵害の傾向についてレポートしました。

リーク サイトのデータからは、製造業が依然として最も強く影響を受けたセクターであることや、2024 年最初の 6 か月間で非常に目立つ攻撃が見出しを飾るなど、ヘルスケア セクターが 2 位に急浮上したことなどが分かりました。全体として、ランサムウェアの影響を強く受けた組織の多くが米国に拠点を置いていました。

法執行機関は、活動レベルの高いランサムウェア脅威アクターを解体・根絶すべく惜しみなく努力していますが、それによって生じた空白地帯を、スキル・意欲ともに高い多数の脅威グループが虎視眈々と狙っています。ここ数年のランサムウェアの成功と続く爆発的増加のせいで、富と名声をつかもうと、ギャンブルする個人やグループの数はかつてなく増えています。

パロアルトネットワークスのお客様は、Prisma Cloud などの Network Security ソリューションと Cortex 系列の製品により、ランサムウェアからより強力に保護されています。

とくに Cloud-Delivered Security Services (クラウド配信型セキュリティ サービス) を有効にした次世代ファイアウォール (NGFW) では以下の保護を提供しています。

Cortex Xpanse をはじめとする Cortex 製品の保護は、インターネットに直接公開され、エクスプロイト可能で、ランサムウェアに感染する可能性のある脆弱なサービスを検出できます。Cortex XDR および XSIAM を通じ、とくに設定等を変更する必要なく、既知のすべてのランサムウェア サンプルは XDR エージェントによって防止されます。これには以下のエンドポイント保護モジュールが使われます。

  • Anti-Ransomware モジュールは Microsoft Windows ないし macOS システム上での暗号化の動作を防止します。
  • Local Analysis モジュールは、Windows、macOS、Linux 上のランサムウェア バイナリーを検出します。
  • XDR には、Windows、macOS、Linux でのランサムウェア活動の防止に役立つ Behavioral Threat Protection (BTP) などの保護機能も含まれています。
  • パロアルトネットワークスの Cloud Security Agent (CSA) は XSIAM を活用して Cortex と Prisma Cloud の両クラウド エージェントにクラウド ベースの検出および監視機能を提供します。

弊社のクラウドベースのセキュリティ ソリューションもクラウド環境で実行されている仮想マシンの保護に役立ちます。

私たちは日々のランサムウェアの調査で得られた発見にもとづき、Advanced WildFire の機械学習モデルと分析技術の見直しや更新を頻繁に行っています。Threat Brief: ConnectWise ScreenConnect Vulnerabilities (CVE-2024-1708 and CVE-2024-1709)

侵害の懸念があり弊社にインシデントレスポンスに関するご相談をなさりたい場合は、こちらのフォームからご連絡いただくか、下記の電話番号までお問い合わせください (ご相談は弊社製品のお客さまには限定されません)。

  • 北米フリーダイヤル: 866.486.4842 (866.4.UNIT42)
  • EMEA: +31.20.299.3130
  • APAC: +65.6983.8730
  • 日本: (+81) 50-1790-0200

パロアルトネットワークスは、これらの調査結果を Cyber Threat Alliance (CTA: サイバー脅威アライアンス) のメンバーと共有しました。CTA のメンバーはこのインテリジェンスを使って、お客さまに保護を迅速に提供し、悪意のあるサイバー攻撃者を体系的に阻害できます。詳細は Cyber Threat Alliance にてご確認ください。

追加リソース

Enlarged Image