>
Insiktレポート

2021年のマルウェアとTTPの脅威の状況

投稿: 2022年3月15日
作成者 : Insikt Group

insikt-group-logo-updated-3.png

編集者注 : 以下の投稿はレポート全文の抜粋です。分析全文を読むには、ここをクリックしてレポートをPDF形式でダウンロードしてください。

年次脅威レポートは、2021年の脅威の状況を調査し、Recorded Futureの脅威調査チームInsikt Groupが作成した1年間のインテリジェンスをまとめたものです。Recorded Future®プラットフォームのデータから、メディアや他のセキュリティグループによる一般公開調査などのオープンソースや、犯罪のアンダーグラウンドに関するクローズドソースを抽出し、2021年からの世界的なトレンド、マルウェアのトレンド、トップトレンドの戦術、技術、手順(TTP)を分析しています。2021年におけるサイバー脅威の状況について、幅広く全体的な見解を求めるすべての人にとって興味深いものとなるレポートです。

Executive Summary

2021年を通じて大規模な破壊的攻撃と絶え間ないツール開発を経て、ランサムウェア関連の脅威はセキュリティチームの優先事項リストの最前線にありました。 ランサムウェアは、いくつかの業界の組織にとって世界的に主要な脅威として支配的でした。 2019年後半から2020年にかけて、ランサムウェアは大規模な組織に対する大きな脅威として浮上し、「大物狩り」の標的と見なされました。 しかし、2020年から2021年にかけて、コモディティ化された市場に進化し、ランサムウェアのオペレーターが増加し、攻撃が広範囲に及ぶことになりました。 脅威アクターは、ランサムウェア内の機能を開発するために熟練した個人を雇い、ランサムウェアをアフィリエイトに貸し出し、初期アクセスブローカーから被害者組織のネットワークへのアクセスを購入しました。 2021年、ランサムウェアはサイバー犯罪の 世界で引き続き成功を収め 、ContiとLockBitがランサムウェアの最も多作な活動をリードしています。

ランサムウェアグループは2020年を通じて「二重恐喝」に依存しており、システムへのアクセスをロックするだけでなく、身代金が支払われない限り盗んだデータを漏洩または販売すると脅迫することで、被害者に身代金を支払うようさらに圧力をかけています。 2021年、脅威アクターは戦術を転換し、「トリプル恐喝」手法を実装しました。 これには、企業ネットワークに侵入するための内部関係者の募集、被害者の顧客に連絡して身代金の支払いを要求する、ランサムウェアの被害者を分散型サービス拒否(DDoS)攻撃で脅迫する、サプライチェーンやマネージドサービスプロバイダーを標的にして攻撃の影響を増幅するなどが含まれます。 さらに、一部のランサムウェアグループはLinuxシステムを標的にし始め、急速な脆弱性の悪用とゼロデイ脆弱性を武器に追加しました。

認証情報の盗難のためのダークウェブ市場は2021年に大成功を収め、ランサムウェアのオペレーターが攻撃の初期アクセスに侵害された認証情報を使用することが多いため、ランサムウェア攻撃の一因にもなりました。 侵害された認証情報は、インフォスティーラーを使用して定期的に盗まれ、ダークウェブショップで宣伝されていました。 これらの漏洩したパスワードは、企業の資格情報が侵害されたログに含まれている場合や、従業員が個人アカウントと仕事用アカウントでパスワードを再利用した場合に、ネットワークを危険にさらしました。

ランサムウェアと並行して、マルウェアやCobalt Strikeなどの悪意のあるツールは進化し、検出が難しくなり、インストール時に危険性が増しました。 マルウェア攻撃では、脆弱性の悪用が急速に進む傾向が続いており、特に2021年後半には、これまでに発見された中で最悪のセキュリティ上の欠陥の1つと広く考えられているLog4Shellが公開されました。

最後に、Insikt Group は、2021 年を通じて上位の MITRE ATT&CK TTP を調査した結果、T1486 (衝撃のためにデータを暗号化)、T1082 (システム情報の検出)、T1055 (プロセスインジェクション)、T1027 (難読化されたファイルまたは情報)、T1005 (ローカルシステムからのデータ) の上位 5 つの手法を特定しました。

編集者注 : 以下の投稿はレポート全文の抜粋です。分析全文を読むには、ここをクリックしてレポートをPDF形式でダウンロードしてください。

関連