バラクーダネットワークスの新たな調査により、防止できたランサムウェア攻撃の44%はラテラルムーブメント中に検知されたことが判明
バラクーダネットワークスジャパン株式会社
2024年08月29日
バラクーダネットワークスジャパン株式会社
2023/2024年版のバラクーダによるランサムウェアレビューによって、依然として医療機関が最も多く攻撃対象となっていることが明らかに
本リリースの要点
・バラクーダの脅威検知データによると、展開中のランサムウェア攻撃の約半数弱(44%)がラテラルムーブメント[1]中に検知されたことが判明
・公に報告されている世界で発生した200件のランサムウェア攻撃のサンプル調査によると、直近12カ月間のランサムウェア攻撃被害の5分の1以上(21%)が医療機関で発生
・8Baseや PLAYランサムウェアの事例の分析により、攻撃者が保護されていないデバイスを攻撃対象とし、悪意あるファイルをビデオや音楽フォルダに隠す試みが判明
米国東部標準時間で2024年8月21日、クラウドファーストなセキュリティソリューションのリーディング企業であるバラクーダネットワークスは、ラテラルムーブメントはランサムウェア攻撃が展開中であることの最も明確な兆候であり、インシデントの約半数弱(44%)がラテラルムーブメント中に検知されていることが判明したという調査結果を発表しました。インシデントの4分の1(25%)は、攻撃者がファイルの書き込みまたは編集を開始したときに検知され、14%は既知のアクティビティパターンと一致しない行動によって脅威が暴かれました。本調査結果は、直近の12カ月間でのランサムウェア攻撃の主要なパターンを調査した、年次調査「バラクーダの注目する脅威」(英語)で紹介されています。
2023/2024年のランサムウェア脅威の状況
バラクーダの脅威研究者たちは、2023年8月から2024年7月にかけて報告された200件のインシデントのサンプルを分析しました。
このサンプル分析によると、インシデントの21%で医療機関が標的となっており、1年前の18%から増加していることが分かっています。また、報告された攻撃の15%が製造業、13%がテクノロジ-企業を標的としたものでした。教育機関を狙ったインシデントは昨年の18%から半減し、2023/2024年には9%となっています。
レンタル型ランサムウェア
最も蔓延しているランサムウェアグループたちは、ランサムウェア・アズ・ア・サービス(RaaS)モデルを運営するグループたちでした。これらのグループにはLockBitが含まれ、過去12カ月間で攻撃者の身元が判明している攻撃の6件に1件(18%)がLockBitによるものでした。
ALPHV/BlackCatランサムウェアは攻撃の14%を占め、比較的新しいランサムウェアグループであるRhysidaは原因が特定された攻撃の8%を占めました。
バラクーダネットワークスのVP/グローバルセキュリティオペレーションズ担当のアダム・カーン( Adam Khan)は次のように述べています。
「レンタル型ランサムウェアの攻撃は、検知や封じ込めが困難である場合があります。同一のペイロードを展開する場合でもランサムウェア攻撃の依頼者によって異なるツールや戦術を使用することがあり、その結果、多くのバリエーションが存在することになります。幸いなことに、スキャン、ラテラルムーブメント、マルウェアダウンロードなどほとんどの攻撃者が依存している検証済みのアプローチがあります。これらのアプローチが取られた場合、セキュリティアラートをトリガーすることができ、ランサムウェアが完全に展開される前に、セキュリティチームが攻撃を検知、封じ込め、および緩和する機会を数回提供することができます。これは、すべての機器が完全に保護されているわけではないIT環境では特に重要となります」
2024年に検知された数が最も多かった攻撃ツールと動作
Barracuda Managed XDRのエンドポイントセキュリティの検知データによると、2024年の最初の6カ月間における、ランサムウェアのアクティビティである可能性が高いことを示す兆候で最も多かったものは次のとおりです。
・ラテラルムーブメント:ランサムウェア攻撃の約半数弱(44%)は、ラテラルムーブメントを監視する検知システムによって検知されました。
・ファイルの変更:4分の1(25%)は、ファイルが書き込まれたり、変更されたりしたときに、それが既知のランサムウェアのシグネチャや疑わしいパターンに一致するかどうかを分析するシステムによって検知されました。
・パターン外の動作:14%は、システムまたはネットワーク内の異常な動作を識別する検知システムによって検知されました。このシステムは、ユーザー、プロセス、およびアプリケーションの典型的な動作を学習します。逸脱(異常なファイル・アクセス、オペレーティング・システム・コンポーネントの改ざん、不審なネットワーク・アクティビティなど)を検知すると、アラートがトリガーされます。
あるヘルステック企業を標的としながら影響を緩和できたPLAYランサムウェア攻撃と、あるカーケア製品メーカーを襲った8baseランサムウェア攻撃を詳細に調査した結果、攻撃者は次の段階の攻撃を開始するために、保護されていないデバイスに足がかりを作り、ほとんど使用されていない音楽やビデオのフォルダに悪意のあるファイルを忍び込ませることを試みていることが判明しました。
きめ細やかな防御
ランサムウェアなどの変化し続ける脅威との戦いでは、複数の検出レイヤーが不可欠です。なぜなら、攻撃者はITチームが通常使用する市販のツールを悪用することが多く、成功するまで動作と戦術をリアルタイムに調整できるからです。
バラクーダは、高度な攻撃を検出して修復し、影響を封じ込めおよび最小化するための鍵となる、AIを実装した多層防御を推奨しています。多層防御だけではなく、堅牢な認証およびアクセスポリシー、パッチ適用、および従業員向けの定期的なセキュリティ意識向上トレーニングも必要となります。
本調査の詳細はこちらからご覧いただけます(英語):
https://blog.barracuda.com/2024/08/21/threat-spotlight-ransomware-rent-threat-landscape
バラクーダネットワークスについて
米国Barracuda Networks Inc. の日本法人。ITにまつわる課題について、メール保護、ネットワークとアプリのセキュリティ、データ保護の3つの分野において、効率的かつ低コストで業界最高レベルのソリューションを提供しています。バラクーダネットワークス製品は全世界20万社以上のお客様にご利用いただいており、オンプレミス、仮想、クラウド、そしてハイブリッドといった柔軟な導入形態により、あらゆるIT環境で最適化できるよう設計されています。詳細については、barracuda.co.jpをご覧ください。
バラクーダネットワークス、バラクーダ、およびバラクーダネットワークスのロゴは、米国およびその他の国々におけるバラクーダネットワークス社の登録商標または商標です。
[1] ラテラルムーブメントは、サイバー攻撃においてネットワークへ侵入した攻撃者が、ネットワーク内を水平(横)方向に移動しながら、侵害範囲を段階的に拡大していく手口のことです。
