Secureworksの脅威レポート、ランサムウェア滞留時間の中央値が4.5日から24時間未満に減少
週刊BCN+ / 2023年12月8日 16時16分
記事の画像
Secureworksは12月6日、2023年サイバー脅威の実態(State of The Threat)レポートの分析で、ランサムウェアの滞留時間の中央値が4.5日から24時間未満に減少したと発表した。 Secureworks Counter Threat Unit(CTU)によると、50%以上のランサムウェアインシデント対応事案で、侵入から1日以内にランサムウェアが展開されていた。サイバー脅威の実態(State of The Threat)レポートで確認された滞留時間の中央値は、わずか12カ月で、4.5日から1日未満まで急激に減少した。そのうち10%の事案では、侵入から5時間以内にランサムウェアが展開された。
23年サイバー脅威の実態レポートは、22年6月から23年7月までのサイバーセキュリティ状況を調査。23年も22年と同じ攻撃グループが引き続き優勢だった。GOLD MYSTICのLockBitが依然としてグループの先頭に立ち、次に活発なグループであるGOLD BLAZERが運営するBlackCatのほぼ3倍の被害組織数を抱えている。
また新たなスキームも登場し、多数の犠牲者が出ている。MalasLocker、8BASE、Akira(14位)はいずれも23年第2四半期からインパクトを与えた新規参入組織。8BASEは23年6月に暴露サイトに40近くの被害組織を掲載したが、これはLockBitよりわずかに少ないだけだった。分析によると、被害組織の一部は22年半ばまでさかのぼるが、同時にダンプされていた。23年4月末からZimbraサーバーに対するMalasLockerの攻撃では、5月に暴露サイトで171の被害組織が出た。今回のレポートでは、ランサムウェア攻撃の成功率について暴露サイトの活動から実際に判明していることを調査しているが、それは見かけほど単純ではないという。
レポートはまた、23年4月から7月までの1カ月当たりの被害組織数が、19年に暴露型攻撃が登場して以来、最も多かったということも明らかにしている。月間の被害組織数が過去最高となった23年5月に暴露サイトに投稿された被害組織数は600で、これは22年5月の3倍に相当する。
顧客がSecureworksのインシデント対応担当者と連携したランサムウェア対応で観測した三つの最大の侵入手法は、脆弱性のスキャン・悪用(32%)、窃取した認証情報の利用(32%)、フィッシングメール経由で配布したマルウェアの利用(14%)だった。
脆弱性のスキャン・悪用には、Shodanなどの検索エンジンや脆弱性スキャナを介して潜在的に脆弱なシステムを発見し、特定の脆弱性を悪用しシステムに侵害しようとすることが含まれる。最も広く悪用された上位12件の脆弱性のうち、58%のCVEは22年よりも前である。さらに古い脆弱性(CVE-2018-13379)も、21年と20年の広く悪用された上位15件に入っている。
今回のレポートは、中国、ロシア、イラン、北朝鮮に属する国家支援の攻撃グループの重要な活動と傾向も調査。地政学は依然として国家支援による攻撃グループ全体の主な原動力となっている。
中国は、その関心の一部を東欧に移行する一方、台湾やその他の近隣諸国にも引き続き重点を置いている。同国は、サイバー諜報活動での隠蔽工作をさらに重視する傾向を強めており、これまでの「Smash-and-Grab(ショーウィンドウ破りの強盗)」という評判から一変した。Cobalt Strikeなどの商用ツールや中国のオープンソースツールを使用することで、帰属のリスクを最小限に抑え、侵入型ランサムウェアグループの活動と融合している。
イランは、依然として反体制活動、アブラハム合意の進展妨害、核合意の再交渉に向けた西側の意図に焦点を当てている。イランの主要情報機関である情報安全保障省(MOISまたはVAJA)とイスラム革命防衛隊(IRGC)は、共に請負業者のネットワークを利用して攻撃的なサイバー戦略を支援している。ペルソナ(本物の人物になりすます、または作成した架空の人物になりすます)の使用は、イランの攻撃グループ全体で重要な戦術となっている。
ウクライナ戦争は依然としてロシアの活動の焦点となってきた。攻撃は、サイバー諜報活動と破壊活動の二つに分類される。今年は、ロシアの敵対者とみなされる組織を標的とする愛国心にあふれたサイバーグループの数が増加した。Telegramは攻撃者にとって、採用活動、標的の発表、攻撃の成功アピールに最適なソーシャルメディア/メッセージングプラットフォームとなっている。信頼できるサードパーティーのクラウドサービスを、悪意をもって使用することがロシアの攻撃グループの活動に頻繁に組み込まれている。
北朝鮮の攻撃グループの目的は、サイバー諜報活動と孤立した政権のための外貨獲得という二つに分類される。AppleJeusは、北朝鮮の金銭窃盗活動の基本的なツールとなっており、Ellipticによると、北朝鮮の攻撃グループは17年5月から23年5月までに23億米ドルを窃盗した(このうち30%が日本からのもの)。
外部リンク
この記事に関連するニュース
-
チェック・ポイント・リサーチ、2024年4月に最も活発だったマルウェアを発表。国内ランキングで初の首位となったAndroxgh0stによる攻撃が世界的に急増
PR TIMES / 2024年5月17日 16時45分
-
ソーシャルエンジニアリング攻撃が激増、モバイル脅威の約90% - YouTubeに注意
マイナビニュース / 2024年5月17日 10時10分
-
ネットスコープ、小売業界を標的とするIoTボットネットとインフォスティーラーに関する新たな調査結果を発表
PR TIMES / 2024年5月14日 17時15分
-
NTTセキュリティホールディングス、2024年版グローバル脅威インテリジェンス レポートで、2023年のランサムウェアと恐喝に関連する事件が+67%と急増したことを発表
共同通信PRワイヤー / 2024年5月1日 9時47分
-
Vectra AI, Midnight Blizzardからの攻撃・脅威を防御するためにセキュリティ担当者が確認すべき8つのポイントを発表
PR TIMES / 2024年4月26日 17時40分
ランキング
-
1「株価暴落」引き起こしてしまう意外な"きっかけ" 金融危機のきっかけとなった市場急落のケース
東洋経済オンライン / 2024年5月18日 8時40分
-
2血圧・血糖値・コレステロール値…良くない結果に肩を落とすも「健診の数値は気にしなくていい」ってどういうこと?【有名医師が助言】
THE GOLD ONLINE(ゴールドオンライン) / 2024年5月18日 10時0分
-
3「育休1年+時短勤務で昇進もしたい」は正気の沙汰ではない…「子持ち様VS非子持ち様」の対立が起きる根本原因
プレジデントオンライン / 2024年5月18日 6時15分
-
4消えゆく「回転レストラン」…80年代には全国50店→再開発・老朽化で数店舗に
読売新聞 / 2024年5月18日 15時0分
-
5庶民は買えない!?マンション高騰は続くのか? 今後のインフレで日本の不動産はどうなるのか
東洋経済オンライン / 2024年5月17日 19時30分
記事ミッション中・・・
記事にリアクションする
記事ミッション中・・・
記事にリアクションする
エラーが発生しました
ページを再読み込みして
ください