Microsoft: 100 人を超える脅威アクターが攻撃にランサムウェアを展開

マイクロソフトは本日、セキュリティ チームが、攻撃中にランサムウェアを展開する 100 人を超える攻撃者を追跡していることを明らかにしました。同社は、昨年末まで積極的に使用されていた 50 を超える独自のランサムウェア ファミリを監視していると述べています。

「最近のキャンペーンで最も顕著なランサムウェア ペイロードには、Lockbit Black、BlackCat (別名 ALPHV)、Play、Vice Society、Black Basta、Royal などがあります」と Microsoft は述べています。

ランサムウェア ギャングは依然として、一般的な脆弱性や最近対処された脆弱性に対するパッチがまだ適用されていないサーバーやデバイスを標的にしているため、「防御戦略は、ペイロードよりも、ペイロードの展開につながる一連のアクティビティに重点を置く必要があります。」

さらに、新しいランサムウェア ファミリーは常に登場していますが、ほとんどの脅威アクターは、ネットワークを侵害して拡散する際に同じ戦術を利用しているため、そのような動作を検出する努力は、攻撃を阻止するのにさらに役立ちます。

レドモンドが付け加えたように、攻撃者は攻撃を行うためにフィッシング以外の戦術にますます依存しており、DEV-0671 や DEV-0882 などの攻撃者は、最近パッチが適用された Exchange Server の脆弱性を利用して、脆弱なサーバーをハッキングし、Cuba および Play ランサムウェアを展開しています。

先週、Exchange チームは管理者に対し、サポートされている最新の累積更新プログラム (CU) を展開して、オンプレミスの Exchange サーバーを保護し、緊急のセキュリティ更新プログラムをいつでもインストールできるようにしておくよう促しました。

インターネットに公開されている 60,000 を超える Exchange サーバーは、ProxyNotShell RCE エクスプロイトを利用した攻撃に対して依然として脆弱です。同時に、 2021 年に最も悪用されたセキュリティ上の欠陥の2 つである ProxyShell と ProxyLogon の欠陥を標的とする攻撃から、 何千人もの人々が保護されるのを待っています。

他のランサムウェア攻撃者も、マルバタイジングに切り替えるか、マルバタイジングを使用して、ランサムウェアや情報窃盗などのさまざまなマルウェア株をプッシュするのに役立つマルウェア ローダーとダウンローダーを配信しています。

たとえば、DEV-0569 として追跡されている脅威アクターは、ランサムウェア ギャングの最初のアクセス ブローカーであると考えられており、現在、広範囲にわたる広告キャンペーンで Google 広告を悪用して、マルウェアを配布し、感染したデバイスからパスワードを盗み、最終的に企業ネットワークへのアクセスを取得しています。

彼らはこのアクセスを攻撃の一部として使用するか、Royal ランサムウェア ギャングを含む他の悪意のあるアクターに販売します。

ランサムウェア アズ ア サービス (RaaS) エコシステムは、さまざまな手法、目標、スキルセットをもたらす多くのプレーヤーによって進化と拡大を続けています。 2022 年末の時点で、Microsoft は 50 を超える固有のアクティブなランサムウェア ファミリと、攻撃でランサムウェアを使用する 100 を超える攻撃者を追跡しています。

— マイクロソフト セキュリティ インテリジェンス (@MsftSecIntel) 2023 年 1 月 31 日

昨年は、Conti サイバー犯罪活動の終焉と、Royal、Play、BlackBasta などの新しいサービスとしてのランサムウェア (Raas) 活動の台頭によって特徴づけられました。

一方、LockBit、Hive、Cuba、BlackCat、および Ragnar のランサムウェア オペレーターは、2022 年を通じて、被害者の絶え間ない流れを侵害し、ゆすり取ろうと試み続けています。

それにもかかわらず、ブロックチェーン分析会社の Chainalysis によると、ランサムウェア ギャングは、過去 2 年間で記録破りの 7 億 6,500 万ドルを記録した後、2022 年を通して被害者から約 4 億 5,680 万ドルしか強要できなかったため、昨年は約 40% の大幅な収益の減少を見ました。

ただし、この大幅な減少は、攻撃が減少したことによるものではなく、被害者が攻撃者の要求する身代金の支払いを拒否したことによるものです。

今年は、米国司法省、FBI、シークレット サービス、ユーロポールが関与する国際的な法執行活動の一環として、Hive ランサムウェアのデータ漏洩と Tor 支払いのダーク Web サイトが押収された後、 ランサムウェア グループに対する大きな勝利から始まりました。

Hive のサーバーにハッキングした後、FBI は 1,300 を超える復号化キーを Hive の被害者に配布し、Hive の通信記録、マルウェア ファイルのハッシュ、および 250 の Hive 関連会社の詳細へのアクセスを取得しました。

同日、米国国務省は、Hive ランサムウェア ギャング (またはその他の脅威アクター) と外国政府を関連付けるのに役立つ可能性のある情報に対して、 最大 1,000 万ドルを提供しました。