【特集】2023年ランサムウェア脅威とリスク分析レポート①
こんにちは、S2W NOTE編集です。
本日は、S2Wの脅威インテリジェンスグループ「Talon(タロン:S2Wのアナリストチーム)」にて2023年1年間に起こったランサムウェア活動を基に評価指標を設定しランサムウェアグループの脅威度を識別した分析レポートの内容をお届けします。
本レポートは、2023年の1年間に活動したランサムウェアグループの動向を調査し、ランサムウェアグループ別の運営の特徴を導き出した後、以下5つの観点にて説明します。
■ランサムウェア分析観点
■ランサムウェア評価指標
S2Wは、上記5つの観点を細分化し、計21の独自のランサムウェア評価指標を設定しました。
■指標を基に導出した危険度が高いランサムウェアグループTOP5
指標の適用有無によって導出された危険度の高い上位TOP5のランサムウェアグループは以下の通りです。
■ランサムウェアグループ、クラスタリング
危険指標合算値ベースのクラスタリング結果、ランサムウェアグループを以下6つのグループに分類しました。
本レポートは、危険度の高いランサムウェアグループが使用する攻撃方法を事前に把握し、被害の予防にご活用頂けます。
指標は、各組織の特定の関心事項と業界の特性に合わせてさらに調整し、どのランサムウェアグループが最大の脅威となるかを評価できます。これは事前予防的に、これから起こり得る攻撃の予防に役立つものと期待されます。
1. 2023年のランサムウェア脅威
・2023年の年間を通して、4,245の組織がランサムウェア攻撃の被害に遭い、攻撃された事実がリークサイトに掲載されました。これは前年比で60%の増加です。
・2023年には72組のランサムウェアグループが、自らが運営しているリークサイトに流出データを公開したものと把握されました。
被害組織の数が最も多い5つのランサムウェアグループは以下の通りです。
— LockBit(1,004)、BlackCat(402)、CLOP(374)、PLAY(288)、8Base(203)
・新規ランサムウェアグループは、リークサイトを運営するグループと、既存のランサムウェアグループのソースコードやビルダーを利用するグループに分類できます。
- 2023年下半期には、リークサイトを持つ18の新たなランサムウェアグループが発見されました。
このうち、リークサイトのアドレスが変更されたのは5グループ、運営停止が確認されたのは2グループでした。
・2023年には、合計57の重複した被害組織が公表されました。
- そのうち、「LockB」itは同じ被害組織に対して最も積極的な攻撃パターンを示すグループでした。
・2023年、ランサムウェア攻撃の被害を最も受けた上位5か国は以下の通りです。
- アメリカ(2,049)、イギリス(290)、カナダ(209)、ドイツ(152)、フランス(136)
- ランサムウェアグループは、被害国の経済力や国別の大企業の数などを考慮すると、GDPが高く、大企業などの数が多い国を標的とする傾向があります。
・2023年、ランサムウェア攻撃の影響を最も受けた業界トップ5は以下の通りです。
- 製造業(746)、ビジネスサービス業(458)、小売(336)、建設業(318)、教育(246)
- 2023年に「BankRate」が調査した収益性の高い業界によると、ランサムウェア被害産業の上位5業界がすべて該当しており、ランサムウェアグループがより大きな収益源を持つ業界をターゲットにする傾向があることを示唆しています。
・2023年にランサムウェアの被害を受けた組織を売上高に基づいて分類したところ、小規模な企業が被害を最も受け、中規模企業、大企業がそれに続くことが明らかになりました。
- 大組織を標的にした成功率の高いランサムウェアグループは、技術的に熟練したペンテスターやアフィリエイトと協力している可能性が高いと評価されています。
- 大規模な組織に対する攻撃が最も多く公開されたランサムウェア・グループのトップ5は以下の通りです。
CLOP(118)、LockBit(58)、BlackCat(40)、BlackBasta(14)、AKIRA(9)
・2023年に活動のあった72のランサムウェアグループのうち、少なくとも26グループがランサムウェアのバージョンを更新し、強化していることが確認されました。
- 「BlackCat」は、最も多くのバージョンアップを行ったグループでした。
・合計18のランサムウェアグループが、2023年にリブランディング(改名)を行ったか、またはリブランディングの可能性があると確認されました。
S2Wが考えるリブランディングの理由は以下の通りです。
- ブランドイメージの向上、TTPの進化、他との連携、グループの解散
・2023年に活動したランサムウェアグループの約84%が、ダークウェブ上のリークサイトを運営していました。
- 最近、テレグラムやクリアネットドメインのようなSNSプラットフォームの利用が増えています。
・2023年の年間を通して、少なくとも13のランサムウェアグループが脆弱性を悪用していることが確認されました。
・これらのグループのうち、約47%がリモートコード実行(RCE)の脆弱性を利用して、企業ネットワークへの内部アクセス権限を奪っていました。
✎_________________________
以上、2023年ランサムウェア脅威とリスク分析レポート①をお届けしました。
次回、ランサムウェアのリスク評価に関する内容をお届けしますので続きが気になる方は是非フォローお願いいたします!
最後までお読みいただきありがとうございました🙇♀️