Malwarebytesはこのほど、「Ransomware review: January 2024」において、Malwarebytesのランサムウェアスペシャリストの調査に基づいた2024年1月のランサムウェア活動レポートを公開した。このレポートでは「既知の攻撃」を被害者が身代金を支払わなかった攻撃と定義しており、実際の被害件数はレポートより多いとされる。
-
Ransomware review: January 2024
2024年1月のランサムウェア活動の概要
レポートによると、2024年1月は261件のランサムウェア被害を記録し、2023年2月以来、最小の被害件数となった。過去のデータから1月はランサムウェア活動が最も下火となる傾向にあるため、正常な推移と評価されている。最も攻撃件数の多いランサムウェアグループはLockBit(56件)で、これに8BASE(27件)、Akira(25件)が続いている。
-
2024年1月のランサムウェア攻撃件数 引用:Malwarebytes
2024年1月は「偽のセキュリティ研究者」がランサムウェア被害者に対し、被害にあったデータを回復できるとだます追加の攻撃を確認したという。これは「後追い恐喝(follow-on extortion)」攻撃と呼ばれ、被害者を支援すると称して暗号資産を支払わせようとする。Malwarebytesが確認した例では、ランサムウェア「Royal」および「Akira」の被害者が標的にされたが、ランサムウェアグループが直接関与したかはわかっていない。
英国立サイバーセキュリティセンター(NCSC-UK: United Kingdom's National Cyber Security Centre)は1月24日(英国時間)、AI(Artificial Intelligence)がランサムウェアの参入障壁を下げ、今後2年間で質と量を増加させると予測するレポートを発表している(参考:「The near-term impact of AI on the cyber threat - NCSC.GOV.UK」)。Malwarebytesは、AIをランサムウェア活動に組み込むには技術力とコストがかかるとして、この推測を時期尚早と評価している。ただし、資金力のあるLockBitやCl0pに関しては実現可能性があるとしている。
その他の活動としては、ランサムウェア「Black Basta」の関連組織が「PikaBot」と呼ばれるマルウェアローダーを配信する新しいフィッシングキャンペーンを実施している(参考:「6月に活動休止したランサムウェア攻撃者が再始動、「Pikabot」配布に注意を | TECH+(テックプラス)」)。Malwarebytesはこの活動について、PikaBotがランサムウェア活動に関与した初めての事例だと指摘。他のランサムウェアグループにも採用される可能性があるとして注意を呼びかけている。
新しい情報漏洩サイト「MYDATA」
Malwarebytesは2024年1月に新しい情報漏洩サイト「MYDATA」を確認している。このサイトはランサムウェア「Alpha」の情報漏洩サイトであり、ランサムウェア「ALPHV」とは関係がない。2024年1月はMYDATAから10件の漏洩データが公開されている。
-
新しい情報漏洩サイト「MYDATA」引用:Malwarebytes
ランサムウェア攻撃への対策
Malwarebytesは進化を続けるランサムウェアに対抗するには、多層的なセキュリティ戦略が必要と指摘している。ランサムウェアを用いる攻撃者は最も簡単な侵入経路を標的とする傾向にあり、フィッシングメール、リモートデスクトッププロトコル(RDP: Remote Desktop Protocol)などを最初に狙う。
これを防御するため、エンドポイント保護(EP: Endpoint Protection)や脆弱性パッチ管理(VPM: Vulnerability and Patch Management)などを活用する。その上でエンドポイント検出応答(EDR: Endpoint Detection and Response)を導入し、被害が発生する前に脅威を検出して排除できるようにする。
ランサムウェアの被害は年々増加する傾向にある。加えて、新しいランサムウェアグループも増え続けており、その戦術、技術、手順(TTPs)もより高度化してきている。企業や組織のシステムおよびネットワークを保護するにはより高度な防衛策が必要とされており、上記のような対策と適切なセキュリティソリューションの導入が望まれている。
