Malwarebytesは11月15日(米国時間)、「Ransomware review: October 2023」において、ダークWeb上のランサムウェア活動に関する2023年10月の調査結果を伝えた。この調査では被害者が身代金を支払わなかった事案を取り上げており、実際の被害はさらに多いと見られる。

  • Ransomware review: October 2023

    Ransomware review: October 2023

Malwarebytesによると、10月は新しく318件の被害者のデータがランサムウェア漏洩サイトに投稿された。このうち最も投稿件数が多いランサムウェアグループは先月に引き続きLockBit(64件)で、これにNoEscape(40件)、PLAY(36件)が続いている。投稿件数は先月と比較して約25%減少した。

  • 2023年10月のランサムウェアグループのデータ漏洩件数 - 提供:Malwarebytes

    2023年10月のランサムウェアグループのデータ漏洩件数 引用:Malwarebytes

Malwarebytesは10月の最も大きな出来事として、ランサムウェアグループ「RansomedVC」を含む複数のグループの解体を挙げている。RansomedVCは2023年9月にソニーの全システムを侵害したと一方的に主張した脅威グループで、42件のデータ漏洩を投稿していたとされる(参考:「ランサムウェアグループ「RansomedVC」がソニーの全システム侵害したと主張 | TECH+(テックプラス)」)。

RansomedVCは10月下旬、グループの幹部がTelegramにて事業の売却を試みている。しかしながらそのわずか数日後、グループの関係者6人が逮捕された可能性があるとしてグループを「終わらせる」と発表、解散した。他にもランサムウェアグループ「Ragnar Locker」が法執行機関により解体され、「Trigona」はウクライナサイバーアライアンス(UCA: Ukrainian Cyber Alliance)の活動により閉鎖に追い込まれている。

そのほか、2023年9月にカジノを攻撃したランサムウェアグループ「Scattered Spider」の調査結果も取り上げている。Scattered Spiderは攻撃に環境寄生型(LOTL: Living Off The Land)の手法を使用しており、システムに既存のアプリケーションを悪用して侵害を行う。このため、従来のセキュリティソリューションでは検出が難しいとされる。この攻撃の成功により、環境寄生型の手法を用いようとする脅威アクターの増加が懸念されており、セキュリティ製品を開発する企業は正規のアプリケーションを悪用した不審な活動の検出に重点を置くことが求められている。

Malwarebytesは、このようなランサムウェアの攻撃からシステムを保護するため、次のような回避策を提案している。

  • インターネットに接続されたシステムを常に最新の状態に維持するための計画を作成する。また、RDPやVPNなどのリモートアクセスを無効にするか強化する
  • ランサムウェアの配信に使用される不具合やマルウェアを防止できるエンドポイントセキュリティソリューションを導入する
  • ネットワークをセグメント化し、アクセス権には最小限の権限のみ割り当てる。また、エンドポイント検出応答(EDR: Endpoint Detection and Response)や検知と対応のマネージドサービス(MDR: Managed Detection and Response)を導入して、攻撃が発生する前に異常なアクティビティを検出できるようにする
  • EDRなどを活用してランサムウェアを特定し、ランサムウェアのロールバック機能から破損したシステムファイルを復元できるようにする
  • 定期的にイミュータブルバックアップを作成する。また、定期的に復元テストを実施する
  • 1度目の攻撃を阻止したのち2度目の攻撃を受けないように、攻撃者、マルウェア、ツール、侵入方法の痕跡をすべて削除できるセキュリティソリューションを導入する

ランサムウェアの被害は年々増加する傾向にあるとされる。加えて、新しいランサムウェアグループも確認され、その戦術、技術、手順(TTPs)もより高度化してきている。企業や組織のシステムおよびネットワークを保護するためにはより高度な防衛策が必要とされており、上記のような対策と適切なセキュリティソリューションの導入が望まれている。