ランサムウェアの観点から見る12か月 – 1年間の振り返り | Codebook|Security News
Codebook|Security News > Articles > Threat Report > ランサムウェアの観点から見る12か月 – 1年間の振り返り

Threat Report

8Base

Akira

alphv

ランサムウェアの観点から見る12か月 – 1年間の振り返り

nosa

nosa

2024.12.26

2024年も昨年と同様、ランサムウェアは世界中の企業や組織を苦しめ続けています。今年は製造部門に対する攻撃の増加が見られましたが、依然としてランサムウェア攻撃の被害が最も多いのは政府および医療部門でした。

*本記事は、弊社マキナレコードが提携する英Silobreaker社のブログ記事(2024年12月11日付)を翻訳したものです。

本ブログ記事では、SilobreakerのAnalyst Teamが2024年に観測した、ランサムウェアに関する主な傾向やインシデントの概要をお伝えします。この1年間を振り返ると、さまざまな製品に存在する脆弱性の悪用事例が続いていることや、新たなランサムウェア株が複数出現している点は見過ごすことができません。しかし、すべてが悲観的な話題ばかりでもなく、増大するランサムウェア攻撃の脅威に対抗するため、世界各国の法執行機関によって継続的な取り組みが推進されています。

1月

複数の脅威アクターがリモートアクセスツールTeamViewerを利用し、組織のエンドポイントへの初期アクセスを獲得した上でランサムウェアを展開していることが確認されました。展開されたランサムウェアは、流出したLockBitのビルダーを基に開発されたものと判明しています。このビルダーは今年1年を通じてさまざまな脅威アクターに利用され、改変版のLockBitの亜種もいくつか誕生しました。さらにAkiraランサムウェアのオペレーターが、CVE-2020-3259を悪用していたことも確認されています。この欠陥はシスコの適応型セキュリティアプライアンスやFirePower Threat Defenseに影響を与えるもので、ユーザー名やパスワードといったメモリの機微なコンテンツの抽出を可能にします。また、Akiraが関与したインシデントのうち少なくとも8件でCisco AnyConnectのSSL VPN機能がエントリポイントとして使用され、侵害されたデバイスのうち少なくとも6件でこの脆弱なソフトウェアのさまざまなバージョンが実行されていました。このほかCVE-2024-37085、CVE-2024-40766、CVE-2024-40711などの脆弱性も、Akiraが今年行った攻撃で悪用されています。1月に発生したランサムウェア攻撃の主な被害者には英国のSouthern Waterやスイス航空が挙げられ、どちらもランサムウェア攻撃で機微な情報が盗まれたことを認めました。両社への攻撃については、Black BastaとALPHVがそれぞれ犯行声明を出しています。

2月

2月には、今年最も深刻な爪痕を残したランサムウェア攻撃の1つが発生しています。この攻撃ではALPHVがCitrix NetScalerに存在する脆弱性「CitrixBleed」を悪用し、米国の医療テクノロジー企業チェンジ・ヘルスケアを標的にしました。同インシデントにより、多くの医療機関で広範なネットワーク障害が発生し、100件以上の重要なアプリケーションが影響を受けた上、患者が薬や医療サービスを利用できなくなる二次被害も起こりました。一方、同月には世界規模の共同捜査作戦「Operation Cronos」も実施され、LockBitのデータリークサイトがテイクダウンされたほか、さまざまなアフィリエイトサーバーやサポートサーバー、そしてLockBitの管理パネルが差し押さえられました。これに加えて法執行機関は、暗号化された被害者のシステムの復号に役立つ可能性があるソースコードを入手すると共に、LockBitのメンバーとされる者も2人逮捕しています。しかし、そのわずか数日後にはLockBitが活動再開を宣言し、政府部門への攻撃をさらに強化すると脅しました。これと並行して、プラットフォームに依存しないバージョンのLockBitランサムウェア「LockBit-NG-Dev」も登場しています。LockBitの亜種が徐々に増えているため、ConnectWiseの脆弱性の悪用など新たな攻撃が発生した際には、それがLockBitの仕業なのか、あるいはほかの脅威アクターが流出したビルダーを使って新しい亜種を開発したのかを特定できず、混乱が生じる事態になっています。

3月

3月5日、ALPHVは活動を停止すると発表しました。しかし、これは出口詐欺なのではないかと広く考えられています。ALPHVは「FBI(米連邦捜査局)にテイクダウンされた」と主張し、自身のWebサイトにFBIのものとされる差し押さえバナーを表示しましたが、FBIが差し押さえを行った事実を否定。表示されたバナーも、FBIが2023年12月にALPHVをテイクダウンした際に使用した画像を転用したものと推測されています。しかもこの声明が発表される直前には、あるアフィリエイトがALPHVを非難し、同グループがチェンジ・ヘルスケアから受け取ったとされる身代金2,200万ドルを分配せず、持ち逃げしたと訴えていました。またALPHVの凋落を受け、Medusa、Cloak、RansomHubといったランサムウェアグループはこの機会を逃さず、同グループからのメンバーの引き抜きに素早く着手しました。こういったランサムウェアグループは2月に起こったLockBitの活動停止にも乗じ、人材の囲い込みを加速させようとしています。一方で、INC RansomランサムウェアグループはNHSスコットランドを攻撃したと主張し、盗んだデータ3TBをリークすると脅しました。この犯行声明は、NHS Dumfries and Gallowayがサイバー攻撃の被害を公表したことを受けて出されたものでした。INC Ransomは同地域が出どころと思われる文書を多数公開したことから、これら2件のインシデントには関連性があることがうかがえます。

4月

4月には、チェンジ・ヘルスケアが再びニュースで大きく取り上げられました。というのも、RansomHubが同社を攻撃したと主張したからです。RansomHubは米国の現役軍人の個人を特定できる情報に加え、ほかの患者の医療記録、支払い情報なども所持していると主張し、その後にこれらのデータを一部リークしました。同グループは、その当時盗難データをまだ所有していたとされるALPHVのアフィリエイトと協力関係を結んだと述べています。研究者の中には、RansomHubをALPHVの後継ではないかと考え、両ランサムウェアのソースコードに重複が見られることを指摘する者もいました。また4月はチェンジ・ヘルスケアに加え、国際連合開発計画もランサムウェア攻撃に見舞われています。この攻撃については8Baseが犯行声明を出しており、身代金が支払われなかったことから盗難ファイルも公開されました。この攻撃により、国連都市のコペンハーゲンでホストされているサーバーで保有していたデータが影響を受けています。4月中も変わらず、脅威アクターらは流出したLockBitのビルダーを使っており、このビルダー(LockBit Black株)を基に作られたと考えられるDragonForceランサムウェアバイナリが研究者によって発見されたほか、BhutiRansomやWing Ransomwareといった新たな亜種も見つかりました。

5月

この月にはまず、ランサムウェア攻撃によって十分な資金を集め、ほかの活動を展開できるようになったとして、GhostSecが本来の姿であるハクティビストに回帰し、サイバー犯罪行為をすべて中止すると発表しました。同グループによると、既存の顧客はStormous Lockerの新たなオペレーションに引き継がれ、ハクティビスト集団であるFive Families(※)に所属する仲間のグループもStormous Lockerが統括するようになるとのことです。またGhostSecは、V3 Ghostlockerランサムウェア株のソースコードもStormousに共有すると述べました。これは出口詐欺や活動の妨害を防ぐためと思われます。サイバー犯罪やランサムウェア活動から手を引くという同グループの決定は、国際的なランサムウェアグループに対して最近行われた法執行活動が動機になったとみられます。REvilランサムウェアが行った攻撃2,500件に関与したとして、Yaroslav Vasinskyiに有罪判決が下されたこともその1つでしょう。またこの頃には、RansomHubが新たなアフィリエイトを積極的に募集するだけでなく、産業制御システムやSCADAシステムにも攻撃対象を拡大することで、ランサムウェアエコシステムにおける主要プレーヤーとしての地位を築き始めています。このようなインフラを狙うことで、同グループは現在のランサムウェアランドスケープにおいて、より大きな影響力を発揮しようという意思を強調したのです。一方、4月下旬に初めて確認されたStorm-1811のソーシャルエンジニアリングキャンペーンは、引き続きMDR(Managed Detection and Response)のユーザーを標的にしました。このキャンペーンはAnyDeskやQuick Assistなどリモートでの監視および管理を可能にするツールに加え、QakBotやCobalt Strikeといったペイロードをインストールさせ、最終的にBlack Bastaランサムウェアを展開することを目的としています。

(※訳注:Five Familiesの構成グループはThreatSec、GhostSec、Stormous、Blackforums、SiegedSec)

6月

6月の注目すべきインシデントは、病理サービスの提供元であるSynnovisへのランサムウェア攻撃でした。これにより、同社のほぼすべてのITシステムに影響が及び、NHSロンドンの複数のトラストを含め、多くの病理システムが停止する事態となりました。犯行声明を出したのはQilinランサムウェアで、その動機については密かに戦争に関与した英国政府への報復行為だと説明しました。このインシデントでQilinは初めて、政治的動機に基づいて攻撃を行ったと主張しています。その後Qilinのリークサイトでは、Synnovisから盗まれた機微なデータ400GBが公開されました。一方、RansomHubは4月半ばに発生した米国の通信会社フロンティア・コミュニケーションズへのランサムウェア攻撃についても犯行声明を出し、この1年間に最も大きな影響力を発揮したランサムウェアグループの一角として地位を固めています。また、LockBitもインドネシアの国家データセンターや、米国を拠点とするEvolve Bank & Trustへの侵害行為などランサムウェア関連の目立った攻撃にいくつか関与し、相変わらず大きな話題となっています。さらにChaosランサムウェアが、身代金メモでLockBitのオペレーターになりすます事例も見受けられました。その間、LockBitは継続的に法執行活動の対象となり、LockBitランサムウェアの復号キーが7,000個以上復元されています。

7月

オペレーティングシステムを狙うランサムウェア攻撃、とりわけVMware ESXi環境とLinux環境を標的とするケースがますます増えました。特にStorm-0506やStorm-1175、Octo Tempest、Manatee Tempestといったグループは、認証バイパスの脆弱性(CVE-2024-37085)を悪用してAkiraおよびBlack Bastaランサムウェアを展開しています。VMware ESXi環境を標的とする攻撃では、Playランサムウェアの新しいLinux亜種も発見されました。この亜種が脅威アクターProlific Pumaに関連付けられたドメインでホストされていたことは、同グループとPlayランサムウェアのオペレーターが連携している可能性を示唆しています。一方、Linux環境を狙った攻撃では、Malloxランサムウェアのカスタマイズ可能な新しい亜種が展開されました。この亜種には、ペイロード配布とデータ持ち出しのためにカスタムPythonスクリプトが備わっています。また、ランサムウェアオペレーターがクラウドサービスプロバイダーを狙う事例もさらに増え、ナイジェリアのコンピューター緊急対応チームは国内の主要クラウドサービスを標的にしたPhobosランサムウェアの攻撃が増加していると報告しました。最も攻撃リスクの高い組織としては、ITおよび通信プロバイダーなどが挙げられています。このランサムウェアは多くの場合、フィッシングキャンペーンあるいは無防備なリモートデスクトッププロトコルの脆弱性を悪用して配布されていました。これと別の取り組みにおいては、Dark Atlas Squadの研究者がセキュリティ上の欠陥を利用し、Medusaランサムウェアグループのクラウドアカウントに侵入した上で、米カンザスシティ地域交通局を含む複数の被害者から盗まれたデータにアクセスしています。7月の注目すべき被害者は米オハイオ州コロンバス市で、この攻撃の犯行声明は後にRhysidaから出されました。同インシデントは50万超の個人情報に影響が及んでいます。

8月

マルウェアでEDR(エンドポイント検出および対応)の働きを阻害するランサムウェアグループがますます多く観測されるようになりました。RansomHubが導入した新たなEDRローダー「EDRKillShifter」はそうしたツールの一種で、ほかの脅威アクターもこれを使っている可能性が高いと思われます。EDRの無効化を目的とするこのローダーは、脆弱なドライバを埋め込んだペイロードを実行し、脅威アクターが改ざんしたGitHubのPoCエクスプロイトを利用して正規のドライバを悪用します。この不正なカーネルドライバのアップデートされた亜種「Poortry」も特定されました。プロセスを終了する従来版とは違い、最新版では重要なEDRコンポーネントが削除されるようになっています。Poortryによる攻撃は、CubaやBlackCat、Medusa、LockBit、RansomHubといったランサムウェアの亜種と共に観測されました。また、法執行機関によるランサムウェア解体の取り組みも続き、FBIを中心とした国際共同作戦でDispossessorランサムウェアグループを摘発。世界各地で複数のサーバーとドメインが差し押さえられました。そのほか、EverestやBlackCat、Malloxが使用するWebダッシュボードにも脆弱性が発見されています。セキュリティ研究者のVangelis Stykas氏はこの欠陥を利用し、ログインすることなく各グループのリークサイトにアクセスした上で、情報を抜き出すだけでなく2件の復号キーを入手し、被害を受けた企業とこれを共有しました。8月の注目すべき被害者には、米連邦保安官局や独ベルリン市の通信インフラなどが挙げられます。Hunters InternationalとDoublefaceによって犯行声明が出されたそれぞれへの攻撃は、政府機関と重要インフラが引き続き主な標的になっていることを浮き彫りにしました。

9月

9月に話題を集めたランサムウェア攻撃はAkiraとFogによるもので、どちらも修正後間もない2件の脆弱性を悪用していることが観測されました。SonicWallファイアウォールに影響を与える重大なSSL VPNアクセス制御の欠陥(CVE-2024-40766)と、Veeam Backup & Replicationサーバーにおける深刻なリモートコード実行の欠陥 (CVE-2024-40711)です。Veeamの欠陥を狙った攻撃においては、多要素認証のない侵害されたVPNゲートウェイを使って初期アクセスが取得されています。また、Fogランサムウェアのある攻撃では、侵害されたVPN認証情報が使われたことや、金融会社を標的としていることが確認されました。それまでFogが主に狙っていたのは教育部門と娯楽部門だったため、これは同グループが標的を変更した可能性を示唆しています。さらに、RansomHubの新たなアフィリエイトと思われるCosmicBeetleが現れ、RansomHubのEDR無効化ツールと新たなランサムウェアペイロード「ScRansom」を使っていることが観測されました。このScRansomの復号鍵に問題があったため、CosmicBeetleはリークされたLockBit 3.0ビルダーを使うだけでなく、身代金メモとリークサイトのレイアウトもLockBitと似たものを使用するなど、同グループへのなりすましを企てています。そのほか、脅威アクターStorm-0501によるキャンペーンは米国の政府機関、製造、輸送、法執行機関など複数部門を標的とし、いくつかのケースでEmbargoランサムウェアを展開していることが確認されました。

10月

法執行機関によるオペレーションが再び実を結び、ユーロポールはLockBitのメンバーと思われる4人を逮捕したと発表しました。さらにオーストラリア、英国、米国も、Evil Corpのメンバーに対してそれぞれ制裁を科したと発表しています。制裁対象となった個人には、LockBitのアフィリエイトでBitPaymerランサムウェアのユーザーとして特定されたAlexsandr Ryzhenkovが含まれていました。同じくロシアも、REvilランサムウェアグループのメンバー4人に拘禁刑を宣告しています。一方、当局側の攻勢にもひるまなかったのがCyber​​Volkで、同グループはハクティビズムからランサムウェアに軸足を移すと発表しました。その動機として挙げられたのは、ロシアと利害が対立する各国政府への報復です。Cyber​​VolkランサムウェアはBabukランサムウェアとの類似点がいくつか確認されましたが、アンチ解析技術やAES暗号化など独自の機能が追加されていました。そのほかにもHelldownのLinux版「NotLockBit」や、​​LockBitを模倣し、Amazon S3 Transfer Accelerationを悪用してデータを盗み出すGo言語ベースのサンプルなど、ランサムウェアの新しい株も複数特定されています。10月の注目すべき被害者は、米国のミシガン州ウェイン郡政府とカリフォルニア州ソノマ郡上級裁判所、そしてフォルクスワーゲングループなど。Scattered Spiderが製造部門のある組織に対して行った二重恐喝攻撃でも、RansomHubランサムウェアが展開されました。

11月

11月18日、Akiraはダークネット上のリークサイトに35組の被害者を追加しました。これは1日当たりで過去最多となり、その後も新たな被害者が追加されたと報じられています。そのうち32組は新しい被害者で、米国に拠点を置くビジネスサービス部門の企業が大半を占めました。掲載される被害者の数が急増した背景については、同じ手口で被害者を脅迫する新しいアフィリエイトが増えた、あるいはAkiraの管理者がリークを控えていたことなどが原因だと推測されています。一方、法執行機関によるランサムウェア解体の取り組みも続けられ、インターポール主導の「Operation Synergia II」では2万2,000以上の有害なアドレスとサーバーが差し押さえられました。その多くがランサムウェア活動に関連するものだと考えられています。米司法省もPhobosランサムウェアの販売、配布、運用を管理したとして、Evgenii Ptitsynを起訴しました。11月の注目すべき被害者には、RansomHubに狙われたメキシコ政府や、米国のサードパーティサプライチェーンマネジメント会社Blue Yonderなどが挙げられます。このBlue Yonderへの攻撃により、スターバックスやセインズベリー、モリソンズを含む同社の顧客数社で事業運営に支障が生じました。

12月

12月にはエネルギー部門がランサムウェア攻撃の標的になりました。主な被害者には米国のENGlobal Corporation、コスタリカの国営エネルギー企業Refinadora Costarricense de Petróleoなどが挙げられ、どちらのインシデントもそれぞれの業務に大きな混乱をもたらしています。さらにBrain Cipherランサムウェアグループも、Deloitte UKへの攻撃で1TB超のデータを盗んだと主張しました。一方、法執行機関によるランサムウェア解体の取り組みは、「Wazawaka」の名でも知られるMikhail Pavlovich Matveevの逮捕と起訴でこの1年を締めくくりました。MatveevはHiveおよびLockBitランサムウェアとの関与が疑われるだけでなく、Babukランサムウェアの初代管理者と報じられている人物です。こうして当局側が成果を挙げていることを踏まえても、このところ取り締まりのペースは明らかに上がってきました。しかし、ランサムウェアアクターたちにとってホリデーシーズンは絶好の攻撃機会であり、今後数週間でさらなるインシデントが発生してもおかしくありません。

最後に

さまざまな組織や業界を狙うランサムウェアの可視性を高め、脅威アクター、攻撃タイプ、TTPをプロファイルして実用的なインテリジェンスを得るために、Silobreaker Intelligence Platformがどのように役立つのか。今すぐデモをお申し込みいただき、その効果をお確かめください。

 

※日本でのSilobreakerに関するお問い合わせは、弊社マキナレコードにて承っております。

また、マキナレコードではFlashpointの運用をお客様に代わって行う「マネージドインテリジェンスサービス(MIS)」も提供しております。

Silobreakerについて詳しくは、以下のフォームからお問い合わせください。

寄稿者

  • Joel Francis, Intelligence Analyst at Silobreaker

【無料配布中!】ランサムウェアレポート&インテリジェンス要件定義ガイド

ランサムウェアレポート:『2024 Ransomware? What Ransomware?』

以下のバナーより、ランサムウェアのトレンドを扱ったSilobreaker社のレポート2024 Ransomware? What Ransomware?の日本語訳バージョンを無料でダウンロードいただけます。

<レポートの主なトピック>

  • 主なプレーヤーと被害組織
  • データリークと被害者による身代金支払い
  • ハクティビストからランサムウェアアクターへ
  • 暗号化せずにデータを盗むアクターが増加
  • 初期アクセス獲得に脆弱性を悪用する事例が増加
  • 公に報告された情報、および被害者による情報開示のタイムライン
  • ランサムウェアのリークサイト – ダークウェブ上での犯行声明
  • 被害者による情報開示で使われる表現
  • ランサムウェアに対する法的措置が世界中で増加
  • サプライチェーン攻撃を防ぐため、手口の変化に関する情報を漏らさず把握
  • 複数の情報源と脅威インテリジェンスツールを活用することが依然不可欠

インテリジェンス要件定義に関するガイドブック:『要件主導型インテリジェンスプログラムの構築方法』

以下のバナーより、優先的インテリジェンス要件(PIR)を中心とした効果的なインテリジェンスプログラムを確立するためのポイントなどを解説したSilobreaker社のガイドブック要件主導型インテリジェンスプログラムの構築方法の日本語訳バージョンを無料でダウンロードいただけます。

<ガイドブックの主なトピック>

本ガイドブックでは、優先的インテリジェンス要件(PIR)の策定にあたって検討すべき点と、PIRをステークホルダーのニーズに沿ったものにするために考慮すべき点について詳しく解説しています。具体的には、以下のトピックを取り上げます。

  • 脅威プロファイルの確立
  • ステークホルダーの特定・分析
  • ユースケースの確立
  • 要件の定義と管理
  • データの収集と処理
  • 分析と生産
  • 報告
  • フィードバック
  • 実効性の評価

Special Feature特集記事

Cyber Intelligenceサイバーインテリジェンス

Security情報セキュリティ