Secureworksの脅威レポート、ランサムウェア滞留時間の中央値が4.5日から24時間未満に減少
週刊BCN+ / 2023年12月8日 16時16分
記事の画像
Secureworksは12月6日、2023年サイバー脅威の実態(State of The Threat)レポートの分析で、ランサムウェアの滞留時間の中央値が4.5日から24時間未満に減少したと発表した。 Secureworks Counter Threat Unit(CTU)によると、50%以上のランサムウェアインシデント対応事案で、侵入から1日以内にランサムウェアが展開されていた。サイバー脅威の実態(State of The Threat)レポートで確認された滞留時間の中央値は、わずか12カ月で、4.5日から1日未満まで急激に減少した。そのうち10%の事案では、侵入から5時間以内にランサムウェアが展開された。
23年サイバー脅威の実態レポートは、22年6月から23年7月までのサイバーセキュリティ状況を調査。23年も22年と同じ攻撃グループが引き続き優勢だった。GOLD MYSTICのLockBitが依然としてグループの先頭に立ち、次に活発なグループであるGOLD BLAZERが運営するBlackCatのほぼ3倍の被害組織数を抱えている。
また新たなスキームも登場し、多数の犠牲者が出ている。MalasLocker、8BASE、Akira(14位)はいずれも23年第2四半期からインパクトを与えた新規参入組織。8BASEは23年6月に暴露サイトに40近くの被害組織を掲載したが、これはLockBitよりわずかに少ないだけだった。分析によると、被害組織の一部は22年半ばまでさかのぼるが、同時にダンプされていた。23年4月末からZimbraサーバーに対するMalasLockerの攻撃では、5月に暴露サイトで171の被害組織が出た。今回のレポートでは、ランサムウェア攻撃の成功率について暴露サイトの活動から実際に判明していることを調査しているが、それは見かけほど単純ではないという。
レポートはまた、23年4月から7月までの1カ月当たりの被害組織数が、19年に暴露型攻撃が登場して以来、最も多かったということも明らかにしている。月間の被害組織数が過去最高となった23年5月に暴露サイトに投稿された被害組織数は600で、これは22年5月の3倍に相当する。
顧客がSecureworksのインシデント対応担当者と連携したランサムウェア対応で観測した三つの最大の侵入手法は、脆弱性のスキャン・悪用(32%)、窃取した認証情報の利用(32%)、フィッシングメール経由で配布したマルウェアの利用(14%)だった。
脆弱性のスキャン・悪用には、Shodanなどの検索エンジンや脆弱性スキャナを介して潜在的に脆弱なシステムを発見し、特定の脆弱性を悪用しシステムに侵害しようとすることが含まれる。最も広く悪用された上位12件の脆弱性のうち、58%のCVEは22年よりも前である。さらに古い脆弱性(CVE-2018-13379)も、21年と20年の広く悪用された上位15件に入っている。
今回のレポートは、中国、ロシア、イラン、北朝鮮に属する国家支援の攻撃グループの重要な活動と傾向も調査。地政学は依然として国家支援による攻撃グループ全体の主な原動力となっている。
中国は、その関心の一部を東欧に移行する一方、台湾やその他の近隣諸国にも引き続き重点を置いている。同国は、サイバー諜報活動での隠蔽工作をさらに重視する傾向を強めており、これまでの「Smash-and-Grab(ショーウィンドウ破りの強盗)」という評判から一変した。Cobalt Strikeなどの商用ツールや中国のオープンソースツールを使用することで、帰属のリスクを最小限に抑え、侵入型ランサムウェアグループの活動と融合している。
イランは、依然として反体制活動、アブラハム合意の進展妨害、核合意の再交渉に向けた西側の意図に焦点を当てている。イランの主要情報機関である情報安全保障省(MOISまたはVAJA)とイスラム革命防衛隊(IRGC)は、共に請負業者のネットワークを利用して攻撃的なサイバー戦略を支援している。ペルソナ(本物の人物になりすます、または作成した架空の人物になりすます)の使用は、イランの攻撃グループ全体で重要な戦術となっている。
ウクライナ戦争は依然としてロシアの活動の焦点となってきた。攻撃は、サイバー諜報活動と破壊活動の二つに分類される。今年は、ロシアの敵対者とみなされる組織を標的とする愛国心にあふれたサイバーグループの数が増加した。Telegramは攻撃者にとって、採用活動、標的の発表、攻撃の成功アピールに最適なソーシャルメディア/メッセージングプラットフォームとなっている。信頼できるサードパーティーのクラウドサービスを、悪意をもって使用することがロシアの攻撃グループの活動に頻繁に組み込まれている。
北朝鮮の攻撃グループの目的は、サイバー諜報活動と孤立した政権のための外貨獲得という二つに分類される。AppleJeusは、北朝鮮の金銭窃盗活動の基本的なツールとなっており、Ellipticによると、北朝鮮の攻撃グループは17年5月から23年5月までに23億米ドルを窃盗した(このうち30%が日本からのもの)。
外部リンク
この記事に関連するニュース
-
SecurityScorecard、日本におけるサードパーティ由来のサイバーセキュリティ侵害に関するレポートを発表:他国と比べ、サードパーティ由来のデータ侵害が高い背景、リスク要因が明らかに
Digital PR Platform / 2024年11月21日 13時0分
-
チェック・ポイント・リサーチ、ランサムウェアの最新動向レポートを発表 データ侵害の手口の進化とRansomHubの台頭でサイバー攻撃の脅威が深刻化
PR TIMES / 2024年11月14日 16時15分
-
半数以上が「最新のパッチを適用済み」なのに、サイバー被害に遭うワケ
ITmedia エンタープライズ / 2024年10月29日 7時15分
-
Netskopeの調査により、侵入経路が特定されたマルウェアの66%が国家支援型の攻撃グループと関連していることが判明
PR TIMES / 2024年10月28日 14時15分
-
ビジネスパーソンが押さえておくべきランサムウェア最新動向 第16回 ロシアのサイバー攻撃グループが操るUndergroundランサムウェアに注意
マイナビニュース / 2024年10月28日 9時29分
ランキング
-
1冬の味覚ハタハタ、海水温上昇で今季の漁獲量は過去最低か…産卵場所に卵ほとんど見つからず
読売新聞 / 2024年11月24日 11時52分
-
2ローソンストア100「だけ弁当」第12弾は「イシイのミートボール」とコラボした「だけ弁当(イシイのミートボール)」
食品新聞 / 2024年11月23日 20時40分
-
3異例の「ケーブル盗難でリフト運休」 スキーシーズン前に 捜査は継続中
乗りものニュース / 2024年11月24日 14時12分
-
412月に権利確定「株主優待」長期保有が嬉しい銘柄6選
THE GOLD ONLINE(ゴールドオンライン) / 2024年11月24日 9時15分
-
5「中間管理職を減らしたい」企業の盲点 リストラで起こる、3つのリスクに備えよ
ITmedia ビジネスオンライン / 2024年11月24日 8時0分
記事ミッション中・・・
記事にリアクションする
記事ミッション中・・・
記事にリアクションする
エラーが発生しました
ページを再読み込みして
ください