ランサムウェア2020：世界の組織に影響を与える攻撃の傾向

記事をシェアする:

ランサムウェアは、あらゆる業界や地域の組織が直面している最も難解で一般的な脅威の1つです。また、ランサムウェア攻撃によるインシデントは増加し続けています。一方で、ランサムウェアの脅威のアクターは、組織がこの攻撃から回復するために実施している改善に合わせて、攻撃モデルを調整しています。

2020年9月現在、IBM Security X-Force Incident Response が今年修復に関わった攻撃の4件に1件はランサムウェアによるものでした。ランサムウェアのインシデントが爆発的に発生したのは、2020年6月のことでした。その月には、IBM Security X-Force が今年これまでに修復したランサムウェア攻撃の3分の1が発生していました。

IBM Security X-Force にとって、2020年のランサムウェアの重要性は、この攻撃タイプが世界中の企業に多大な損害を与えていることによって強調されています。この被害は、身代金要求の増加や、ランサムウェアとデータ盗難や恐喝の手法を組み合わせた攻撃によって、より深刻なものとなっています。

主なポイント

• 身代金要求は指数関数的に増加しています。IBM Security X-Force では、4000万ドル以上の身代金要求が発生しているケースもあります。
• Sodinokibi ランサムウェア攻撃は、これまでのところ、2020年に IBM Security X-Force が対応したランサムウェア事件の3件に1件を占めています。
• 攻撃者は、特に学校や大学がバーチャルで授業を開始したり、COVID-19 の影響でハイブリッド環境の実験を行ったりしていることから、ランサムウェア攻撃の標的としてさらに魅力的な存在であることがわかってきています。
• IBM Security X-Force が2020年に分析したランサムウェア攻撃の41%は、オペレーショナル・テクノロジー（OT）ネットワークを持つ組織を標的としています。

本記事では、IBM Security X-Force が最も頻繁に観測したランサムウェアの種類を取り上げます。また、ランサムウェア攻撃技術の傾向として、恐喝とランサムウェアの混合攻撃など、より懸念される傾向にも触れ、企業の業務に壊滅的な脅威をもたらす可能性のあるこの新たな猛攻に対抗するために、企業ができることについても触れます。

ランサムウェア攻撃の傾向

2020年第2四半期のデータを見ると、IBM Security X-Force Incident Response が修復したランサムウェア攻撃の件数は、前四半期に比べて3倍以上に増加しています。これらは、2020年4月から6月の間に当チームが対応したインシデントの32%を占めています。

ターゲット

ターゲットに関しては、IBM Security X-Force では、ランサムウェア攻撃の全般的なシフトが観測されています。ランサムウェアは、製造業の企業を最も強く攻撃しています。これまでに対応した今年のインシデントの4分の1近くを製造業が占めています。2番目に狙われているのは専門サービス業で、ランサムウェア攻撃の17%を経験しています。次いで政府機関が13%の攻撃を受けており、3位にランクインしています。

これら3つの業界への攻撃は、ランサムウェアの脅威アクターが、製造業のネットワークなど、ダウンタイムに対する耐性が低い被害者を狙っていることを示唆しています。高い稼働時間を必要とする組織は、業務の停止により毎日数百万ドルの損失を被る可能性があります。そのため、データへのアクセスを取り戻し、業務を再開するために身代金を支払う可能性が高くなる可能性があります。

IBM Security X-Force は、これらのセクターに加えて、2020年を通じて教育機関を狙ったランサムウェア攻撃が急増すると指摘しています。特に、学校や大学がバーチャルで授業を開始したり、COVID-19 の影響でハイブリッド環境の実験を行ったりしているため、攻撃者はそれらがランサムウェア攻撃の魅力的なターゲットになることがわかってきています。

2020年5月と6月に攻撃された大学のクラスターは、8月と9月に追加の学術機関へと拡大しており、大学は教員、学生、研究に関する機密情報が公開されないことを願って、40万ドルから100万ドル以上の身代金を支払っています。

地域の広がり

ランサムウェア攻撃は世界のあらゆる地域に広がり続けていますが、今年はアジアと北米がこれまでのところ最も被害を受けています。これらの地域は、IBM Security X-Force が2020年に対応したランサムウェア攻撃のうち、それぞれ33%、30%を占めています。

ヨーロッパでも、ここ数カ月間にランサムウェアの活動が顕著になり、IBM Security X-Force のインシデント・レスポンス・チームが修復した攻撃の27%を占めています。これらの数字は、ランサムウェア攻撃は一般的に地域を問わず、ターゲットとなる企業の人口密度が高い地域に集中する傾向があることを示唆しています。

2020年に進化するランサムウェアの戦術

IBM Security X-Force が修復した案件では、ランサムウェア攻撃の技術や手法にいくつかの懸念すべき傾向が現れています。その中でも特に問題となっているのが、企業の機密情報を暗号化する前に盗み出すという、恐喝とランサムウェアの混合型攻撃です。被害者が復号化キーの支払いを拒否した場合、攻撃者は盗んだ情報を公開すると脅します。

この戦術により、多くの被害者が窮地に立たされます。たとえ暗号化されたファイルをバックアップから復元できたとしても、情報漏えい、データや顧客の記録の損失を被る可能性があり、損害を受けた評判を修復することは言うまでもなく、規制当局の罰金を支払わなければならなくなります。いくつかのケースでは、攻撃者は、組織が支払わなければならない規制上の罰金に応じて身代金を名指しし、それを利用して身代金の支払いを検討させるもう一つの圧力戦術として利用していると疑われています。

攻撃者が実際に企業のデータを盗むことで、ランサムウェア攻撃はデータ侵害にもなりつつあり、これらのタイプのインシデントがもたらすリスクと影響もあります。この傾向は、セキュリティー管理者にリスクを再評価し、インシデント対応、災害復旧、事業継続計画を適宜調整することを迫るものです。

Sodinokibi：組織犯罪グループ ITG14 と連動

IBM Security X-Force が2020年に最も多く見てきたランサムウェアの系統は、Sodinokibi（別名REvil）であり、今年はランサムウェアと恐喝の混合攻撃に資本参加している RaaS（Ransomware-as-a-service）攻撃モデルです。

このマルウェアは、ランサムウェアやデータ窃盗攻撃に関与しており、被害者に支払いを強要することができない場合には、その運営者がインターネット上の機密データを盗んで競売にかけるケースもありました。

また、Sodinokibi は、2020年の IBM Security X-Force ランサムウェアの全関与件数の29%を占めており、他のランサムウェアの系統と比較した場合、Sodinokibi のアクターは被害者のネットワークへのアクセスに長けていることが示唆されています。

我々の分析によると、Sodinokibi は2019年4月に出現して以来、少なくとも140の組織を被害に遭わせており、標的とされた業種は卸売業（19％）、製造業（18％）、専門サービス業（16％）が上位を占めています。Sodinokibi の攻撃を受けた組織のうち、最も被害を受けたのは米国の組織で、約60％を占めており、遠くは英国、オーストラリア、カナダが続いています。

IBM Security X-Force の推定では、Sodinokibi の被害者の36%以上が身代金を支払っており、被害者の12%がダークウェブ上のオークションで機密データを売却しています。これらのオークションでは、データの価格は5,000ドルから2,000万ドルを超えるものまであります。さらに、Sodinokibi ランサムウェアの被害者の少なくとも32%が、このランサムウェアを運用する者によって自分のデータを流出されていると推定しています。

我々の調査によると、Sodinokibi の攻撃者は身代金要求を決定する際に被害者組織の年収を考慮しており、既知の要求は被害者組織の年収の 0.08% から 9.1% までとなっています。このグループは、身代金要求額を被害者組織に合わせて調整しているようで、Sodinokibi の身代金要求額の最高額は4,200万ドル、最低額は約1,500ドルとなっています。2020年のSodinokibi ランサムウェアの利益について、保守的な予測では、少なくとも8100万ドルとなっています。

Sodinokibi ランサムウェアの調査中に、FIN7 とキャンペーンを重複させている ITG14 が、これらの攻撃に関連する少なくとも1つの関連グループであることを示唆する証拠を確認しました。Sodinokibi ランサムウェア攻撃に関連した Carbanak のバックドアを調査した結果、この Carbanak のサンプルは、ITG14 のツールや技術に関連した新しい Carbanak 64ビットの亜種に類似していることがわかりました。また、このサンプルはグループによって排他的に使用されていると評価しています。このことから、ITG14 は、これらの攻撃を配信するために Sodinokibi RaaS プロバイダと契約している少なくとも1つの関連グループであると結論づけています。

Maze：Buer Loader の使用

IBM Security X-Force は、2020年も Maze のランサムウェア攻撃が継続すると観測しており、今年これまでに観測されたランサムウェア攻撃の12％を占めています。Maze はまた、RaaS やブレンド型の恐喝ランサムウェア・モデルを使用しており、公開されているブログで被害者を宣伝しています – Sodinokibiと同様の手法です。Mazeは、専門サービス業界の被害者をターゲットにしており、主に北米やヨーロッパの組織に被害をもたらしています。

RaaS モデルでは、複数の脅威グループが Maze ランサムウェアを組織に配信しており、複数のセキュリティー・ベンダーが強調しているように、Maze ランサムウェアに関連するさまざまな戦術、テクニック、プロシージャ（TTP）が生み出されています。これらの TTP のうち、IBM Security X-Force では、新たに発見された可能性のある1つの戦術を確認しています：足がかりを維持するためのコード署名付き Buer Loader の使用です。Buer Loader は、2019年後半に初めてダークウェブ上で販売されるようになり、いくつかのアップデートを受けています。追加のペイロードをダウンロードして実行したり、永続性を確立したり、HTTPS プロトコルで通信したりすることが可能です。攻撃者はまた、2020年の Maze 攻撃で使用される非常に一般的なツールである Cobalt Strike をダウンロードしてインストールするために Buer Loader を使用したと考えられます。

SNAKE/EKANS：産業用制御機器への新たな脅威

2020年のランサムウェアの中で、より懸念されているものの1つは、2019年12月中旬に初めて確認され、IBM Security X-Force がこれまでに観測した2020年のランサムウェア攻撃の6%を占める EKANS – または SNAKE（EKANSのスペルが逆になっている）です。

EKANS ランサムウェアは、産業用制御システム（ICS）の操作に直接関連するいくつかのプロセスを含む、犠牲者のデバイス上のいくつかの重要なプロセスを停止させることができます。このランサムウェアが他のランサムウェアの系統と比較して物理的なプロセスに大きな影響を与える可能性があることを考えると、この特徴は ICS やオペレーションテクノロジー（OT）に接続されたシステムに大きな意味を持ちます。2020年に IBM Security X-Force が観測したランサムウェア攻撃の41%は、OTに接続された産業を対象としていることから、EKANS の潜在的な攻撃の意味合いは重要です。

IBM Security X-Force による EKANS ランサムウェア・サンプルの分析によると、それはオープンソースのプロジェクトである Go プログラミング言語で書かれていることがわかります。最初のステップとして、ランサムウェアは被害者の内部ドメイン名を解決しようとします。ランサムウェアがドメイン名を解決できない場合、このステップをキル・スイッチとして使用して終了します。さらに、マルウェアは、暗号化プロセスが実行される前に終了させるために、ハードコードされた ICS 関連のプロセスをいくつか探します。このマルウェアのこの側面は、IBM Security X-Force がいくつかの修復作業を分析した MegaCortex に似ています。実際、EKANS が終了するように設計された12のハードコード化されたプロセスは、MegaCortex ランサムウェアとそれ以上の数十のランサムウェアで見つけることができます。

ランサムウェアの猛攻との戦い

2020年のランサムウェアの攻撃手法は、様々な意味で、これまで観察されてきた以上に被害者を苦境に立たせています。被害者を恐喝するためにランサムウェアを使用している者は、時間の経過とともに要求額が増加し、場合によっては4000万ドルを超える額にまで上昇しています。攻撃と恐喝技術を組み合わせたランサムウェアの中には、企業の最も重要なシステムやプロセスを標的にしたものもあります。

攻撃者がネットワークに侵入し、ファイルを暗号化し、盗まれたデータを漏えいさせると脅すことができれば、一部の組織は身代金を支払いたくなるかもしれません。支払うかどうかの判断には多くの要因が絡んでおり、すべての組織に適用される単一の計算式はありません。

“FBI は、ランサムウェア攻撃に対して身代金を支払うことを支持していません。身代金を支払っても、あなたやあなたの組織がデータを取り戻せる保証はありません。また、犯人がより多くの被害者を狙うことを促し、他の人がこの種の違法行為に関与する動機を与えることにもなります。”

組織がランサムウェアの被害に遭っている場合は、攻撃者にお金を支払うのではなく、データを復元して評判の低下を軽減できるソリューションを探すことをお勧めします。ランサムウェア攻撃の例では、IBM Security X-Force のマルウェア・リバース・エンジニアが、暗号化されたファイルを復元するためのカスタム・デクリプターを作成することができたことがあります。この解決策は例外的なものになりがちですが、身代金を支払う前に様々な選択肢を検討することの重要性が強調されています。

身代金の支払いは、攻撃者が活動を継続することを促し、ビジネス・モデルの妥当性を確かにし、この種の攻撃活動に参加するサイバー犯罪者をさらに増加させることに繋がります。しかし、このような困難な状況であっても、リスクを軽減し、被害を最小限に抑えるために企業が取ることができる行動があります。

• オフライン・バックアップを確立し、維持する。読み取り専用アクセスで攻撃者がアクセスできないようにファイルを安全に保存していることを確認する。バックアップ・ファイルの可用性は、ランサムウェア攻撃からの回復を支援する組織にとって重要な差別化要因となります。
• 不正なデータ盗難を防ぐための戦略を導入します。特に、攻撃者が悪用する可能性のある正規のクラウド・ストレージ・プラットフォームに大量のデータをアップロードする場合に適用されます。
• 潜在的なセキュリティー・インシデントを特定するために、ユーザーの振る舞い分析を採用する。トリガーが発生した場合は、侵害が発生したと仮定する。特権アカウントやグループに関連した不正利用の疑いがある場合は、監査、監視、迅速な対応を行う。
• 企業ネットワークへのすべてのリモート・アクセス・ポイントに多要素認証を採用し、リモート・デスクトップ・プロトコル（RDP）へのアクセスを安全または無効にすることに特に注意する。複数のランサムウェア攻撃は、脆弱な RDP アクセスを悪用してネットワークに侵入することが知られています。
• 侵入テストを利用して、企業ネットワークの弱点や、優先的にパッチを当てるべき脆弱性を特定します。特に、2020年にランサムウェア攻撃を含む複数の脅威行為者が企業への初期侵入に利用したCVE-2019-19781 に対する緩和策を実装することを推奨します。さらに、頻繁に悪用されている以下のソフトウェアの脆弱性については、該当する場合には即時の修復を優先することを検討してください。
  • CVE-2019-2725
  • CVE-2020-2021
  • CVE-2020-5902
  • CVE-2018-8453
• VPN関連のCVE
  • CVE-2019-11510
  • CVE-2019-11539
  • CVE-2018-13379
  • CVE-2019-18935

ランサムウェア攻撃に関する X-Force の脅威インテリジェンスのさらに詳しい紹介は、2020年9月30日午前11時（米国東部標準時）に開催されるWebセミナー「Combatting Ransomware: How Threat Intelligence Enhances Defense for the City of L.A.」にご参加してください。
日本標準時では2020年10月01日午前0時の開催ですが、オンデマンドでご都合に合わせて視聴可能ですので、ぜひご登録ください。

 

【関連情報】
クラウドの脅威レポート公開：脅威アクターはどのようにクラウドに適応しているか？
IBM X-Force Incident Response and Intelligence Servicesの概要はこちらから
X-Force 脅威インテリジェンス・インデックス 2020 公開
TERMINAL：サイバー攻撃への対応をゲームで体験
ランサムウェアからデータを守るインフラストラクチャー・ソリューション

【著者情報】

Camille Singleton

Camille Singleton は、米国政府および IBM のアナリストとして、サイバーセキュリティーのトピックに 13 年の専門的な経験を持っています。専門は、サイバーセキュリティーの問題と潜在的な解決策を全体的に見る戦略的分析です。ブリガム・ヤング大学、ジョージ・メイソン大学、オックスフォード大学で学位を取得しており、専門的な経験を補完するために、分析に学術的な深みを加えています。

 

この記事は次の記事の抄訳です。
Ransomware 2020: Attack Trends Affecting Organizations Worldwide (英語)