見出し画像

【特集】2023年ランサムウェア脅威とリスク分析レポート①

Darkpedia: サイバー犯罪のダークトレンド

こんにちは、S2W NOTE編集です。

本日は、S2Wの脅威インテリジェンスグループ「Talon(タロン:S2Wのアナリストチーム)」にて2023年1年間に起こったランサムウェア活動を基に評価指標を設定しランサムウェアグループの脅威度を識別した分析レポートの内容をお届けします。

本レポートは、2023年の1年間に活動したランサムウェアグループの動向を調査し、ランサムウェアグループ別の運営の特徴を導き出した後、以下5つの観点にて説明します。


■ランサムウェア分析観点

📌①活動量(Activity)
2022年に比べ、2023年にランサムウェアのリークサイトにアップロードされた被害企業数が1.6倍増加し、2023年の間にリークサイトにアップロードされた被害企業のうち50%は活動量の多い上位5つのランサムウェアグループによる影響を受けました。

📌➁影響力(Influence)
非営利部門と政府機関のような特定の部門に対する攻撃量が増加しました。また、大企業を標的とした比率が特に高いランサムウェアグループが確認されました。

📌③ブランドの継続性(Brand Continuity)
2023年の1年間、26組のグループが自身のランサムウェアバージョンをアップデートし、18組のランサムウェアグループが名前を変えるなどのリブランディングを行った可能性があることが確認されました。

📌④拡張性(Extensibility)
ランサムウェアグループは、組織的な運営とインフラの拡張のため、体系化された役割分担に基づくグループを運営しており、ダークウェブの主なインフラを構築してます。

📌⑤脆弱性(Vulnerability)
攻撃する際、脆弱性を利用していると見られるランサムウェアグループは最低13グループ以上確認されました。

■ランサムウェア評価指標

S2Wは、上記5つの観点を細分化し、計21の独自のランサムウェア評価指標を設定しました。

✔プラス指標
活動量、影響力、ブランドの継続性、拡張性指標、脆弱性

マイナス指標
復号ツール公開の有無、ソースコード及びビルダー引用の有無、
インフラ流出の有無、該当のランサムウェアグループがTake-downされたかどうかの有無

■指標を基に導出した危険度が高いランサムウェアグループTOP5

指標の適用有無によって導出された危険度の高い上位TOP5のランサムウェアグループは以下の通りです。

✔マイナス指標 適用前
LockBit、Black Cat、CLOP、BlackBasta、Nokoyawa

✔マイナス指標適用後
CLOP、BlackBasta、Nokoyawa、Qilin、BlackByte

■ランサムウェアグループ、クラスタリング

危険指標合算値ベースのクラスタリング結果、ランサムウェアグループを以下6つのグループに分類しました。

✔Destructive
✔Self Management Expert
✔Offensive
✔Follower
✔Rookie
✔Enigma

本レポートは、危険度の高いランサムウェアグループが使用する攻撃方法を事前に把握し、被害の予防にご活用頂けます。

指標は、各組織の特定の関心事項と業界の特性に合わせてさらに調整し、どのランサムウェアグループが最大の脅威となるかを評価できます。これは事前予防的に、これから起こり得る攻撃の予防に役立つものと期待されます。

⚠️今回のレポートの分析対象は、
・ランサムウェアのリークサイトを持つランサムウェアグループ
・リークサイトにアップロードされた被害者グループと組織
・ランサムウェアを使用せずにデータの流出だけを行うexfiltration型(恐喝型)グループです。

1. 2023年のランサムウェア脅威

・2023年の年間を通して、4,245の組織がランサムウェア攻撃の被害に遭い、攻撃された事実がリークサイトに掲載されました。これは前年比で60%の増加です。

・2023年には72組のランサムウェアグループが、自らが運営しているリークサイトに流出データを公開したものと把握されました。
被害組織の数が最も多い5つのランサムウェアグループは以下の通りです。
— LockBit(1,004)、BlackCat(402)、CLOP(374)、PLAY(288)、8Base(203)

・新規ランサムウェアグループは、リークサイトを運営するグループと、既存のランサムウェアグループのソースコードやビルダーを利用するグループに分類できます。
- 2023年下半期には、リークサイトを持つ18の新たなランサムウェアグループが発見されました。
このうち、リークサイトのアドレスが変更されたのは5グループ、運営停止が確認されたのは2グループでした。

・2023年には、合計57の重複した被害組織が公表されました。
- そのうち、「LockB」itは同じ被害組織に対して最も積極的な攻撃パターンを示すグループでした。

・2023年、ランサムウェア攻撃の被害を最も受けた上位5か国は以下の通りです。
- アメリカ(2,049)、イギリス(290)、カナダ(209)、ドイツ(152)、フランス(136)
- ランサムウェアグループは、被害国の経済力や国別の大企業の数などを考慮すると、GDPが高く、大企業などの数が多い国を標的とする傾向があります。

・2023年、ランサムウェア攻撃の影響を最も受けた業界トップ5は以下の通りです。
- 製造業(746)、ビジネスサービス業(458)、小売(336)、建設業(318)、教育(246)
- 2023年に「BankRate」が調査した収益性の高い業界によると、ランサムウェア被害産業の上位5業界がすべて該当しており、ランサムウェアグループがより大きな収益源を持つ業界をターゲットにする傾向があることを示唆しています。

・2023年にランサムウェアの被害を受けた組織を売上高に基づいて分類したところ、小規模な企業が被害を最も受け、中規模企業、大企業がそれに続くことが明らかになりました。
- 大組織を標的にした成功率の高いランサムウェアグループは、技術的に熟練したペンテスターやアフィリエイトと協力している可能性が高いと評価されています。
- 大規模な組織に対する攻撃が最も多く公開されたランサムウェア・グループのトップ5は以下の通りです。
CLOP(118)、LockBit(58)、BlackCat(40)、BlackBasta(14)、AKIRA(9)

・2023年に活動のあった72のランサムウェアグループのうち、少なくとも26グループがランサムウェアのバージョンを更新し、強化していることが確認されました。
- 「BlackCat」は、最も多くのバージョンアップを行ったグループでした。

・合計18のランサムウェアグループが、2023年にリブランディング(改名)を行ったか、またはリブランディングの可能性があると確認されました。
S2Wが考えるリブランディングの理由は以下の通りです。
- ブランドイメージの向上、TTPの進化、他との連携、グループの解散

・2023年に活動したランサムウェアグループの約84%が、ダークウェブ上のリークサイトを運営していました。
- 最近、テレグラムやクリアネットドメインのようなSNSプラットフォームの利用が増えています。

・2023年の年間を通して、少なくとも13のランサムウェアグループが脆弱性を悪用していることが確認されました。

・これらのグループのうち、約47%がリモートコード実行(RCE)の脆弱性を利用して、企業ネットワークへの内部アクセス権限を奪っていました。

✎_________________________
以上、2023年ランサムウェア脅威とリスク分析レポート①をお届けしました。
次回、ランサムウェアのリスク評価に関する内容をお届けしますので続きが気になる方は是非フォローお願いいたします!
最後までお読みいただきありがとうございました🙇‍♀️