攻撃手法はbotネットから脆弱性の悪用へ ランサムウェア攻撃の状況をSymantecが解説：ランサムウェア攻撃者は妨害行為を増加させている

Broadcomは、2023年のランサムウェア攻撃の状況をSymantec公式ブログで明らかにした。2023年第4四半期にランサムウェアの攻撃数は20％強減少したにもかかわらず、ランサムウェアの活動は引き続き増加傾向にあるという。

[＠IT]

　Broadcomは2024年3月12日（米国時間）、2023年のランサムウェア攻撃の状況をSymantec公式ブログで明らかにした。

　2023年第4四半期にランサムウェアの攻撃数は20％強減少したにもかかわらず、ランサムウェアの活動は引き続き増加傾向にある。Broadcomによると、攻撃者は戦術の洗練を続けており、被害者を感染させる新たな方法を見つけ、迅速に混乱に陥れることができるという。

　ランサムウェア漏えいサイトのデータを分析したところ、攻撃者が2023年に攻撃した被害者数は4700人で、2022年の2800人に比べて大幅に増加したことが分かった。botネット「Qakbot」が2023年6月に閉鎖し、主要なマルウェア配布チャネルが無力化されたが、攻撃者はすぐに適応し、現在では脆弱（ぜいじゃく）性の悪用がランサムウェア攻撃の大部分を占めている。

データ漏えいサイトを運営する攻撃者が仕掛けたランサムウェア攻撃件数（2023年〜2024年）

　「LockBit」は、Syrphidサイバー犯罪グループ（別名Bitwise Spider）が長年にわたって運営する、サービスとしてのランサムウェア（RaaS：Ransomware as a Service）だ。2023年も引き続き最大のランサムウェア脅威であり、データ漏えいサイトで報告された全ての攻撃のうち、21％をLockBitが占めている。続いて「Noberus」（別名BlackCat、ALPHV）が攻撃全体の9％を、「Clop」が8％を占めた。LockBitとNoberusは、法執行機関の標的になっているが、Broadcomによると、このことが長期的に両脅威の活動レベルに大きな影響を与えるかどうかは不明だという。

2023年に登場したランサムウェア件数（提供：Symantec）

　攻撃者が主張する全体的な活動レベルと、Broadcomが確認したランサムウェアの活動レベルには大きな差がある。攻撃者はLockBitは2023年には全てのランサムウェア攻撃のうち21％以上に関与していたと主張しているが、Broadcomの調査では、攻撃に関与したLockBitは約17％だった。逆に、Noberusは2023年の全攻撃の9％を占めていると主張していたが、Broadcomの調査では、全攻撃の20％強に関与していた。

主張された攻撃の比率とSymantecが調査したランサムウェア攻撃の比率（グラフ左が「攻撃者によって主張された攻撃」、右が「実際に観測、確認された攻撃」）（提供：Broadcom）

　両者を比較することで、さまざまなグループによる攻撃の相対的な成功率をある程度、推測することができる。Broadcomは「攻撃が特定の段階に達したときに初めて、Symantecはその攻撃を特定のランサムウェアファミリーに関連付けることができる」とし、「このことから、Noberusを使用する攻撃者は、少なくともペイロードを展開する段階にまで攻撃を進める可能性が高い」と述べている（訳注：上の左のグラフは攻撃数の比率、右のグラフはある程度まで成功した攻撃数の比率と見立てることができるという意味）。

感染ベクトル

　最近のランサムウェア調査によるエビデンスは、公開されているアプリケーションの既知の脆弱性の悪用がランサムウェア攻撃の主要な感染経路だと示している。最近のランサムウェア攻撃で考えられる感染経路としてBroadcomは以下を挙げている。

• CVE-2022-47966 ZOHO ManageEngine
• 「Microsoft Exchange Server」の脆弱性。攻撃に用いられる脆弱性は不明だが、多くの攻撃における悪意のあるアクティビティーの最初のエビデンスがExchange Server上で発生した
• Citrix Bleed（CVE-2023-4966）Citrix NetScaler ADCおよびNetScaler Gateway
• CVE-2023-20269 Cisco Adaptive Security Appliance（ASA）およびCisco Firepower Threat Defense（FTD）VPN

ツール

　ランサムウェア攻撃者によって導入されるツールの数は増え続けている。特に、二重用途ツール（攻撃者が悪意のある目的でインストールする正規のソフトウェア）の数が急増している。2024年3月現在、Bring Your Own Vulnerable Driver（BYOVD、脆弱性のあるドライバを悪用する手法）を用いたツールも攻撃者の間でよく使われているという。ランサムウェア攻撃で最近確認された新しいツールとして、以下のものがある。

HopToDesk

　一般公開されているリモートデスクトップツールで、流出した「Conti」ランサムウェアの亜種を使用した攻撃者によって使用された。リモートデスクトップツールは、ランサムウェアの実行者によって頻繁に使用されている。「Atera」「AnyDesk」「Splashtop」などがある。

TrueSightKiller

　BYOVD技術を利用してセキュリティソフトウェアを無効にするツール。

GhostDriver

　BYOVD技術を利用してアンチウイルス（AV）ツールを無効にするツール。

StealBit

　LockBitランサムウェアの操作に関連付けられたカスタムデータ流出ツール。「StealBitはしばらく人気がなかったようだが、2024年初頭に再開され、2つの別々のLockBit攻撃で展開された」（Broadcom）

攻撃の手口

　ランサムウェア攻撃者によって最近使用されている手口には次のものがある。

Esentutl

　Esentutlは、Windowsにおける「Extensible Storage Engine（ESE）」のデータベースユーティリティー。コマンドラインで使える。これを利用して認証情報をダンプする。既知の手法だが、2024年2月〜3月の期間、攻撃者がブラウザの認証情報をダンプするための使用例が確認されている。

DPAPI

　MicrosoftのData Protection API（DPAPI）を使用して保存された機密性の高いユーザー認証情報を、悪意のあるツールを使用して抽出および復号する。

　「ランサムウェアは、2024年以降も組織にとって大きな脅威であり続けるだろう。多額の報酬を狙うランサムウェア攻撃者は、粘り強く適応力があり、組織を再編成し、常に新しい戦術を開発することで混乱に対応できることが証明されている」（Broadcom）