第4四半期のマルウェアの動向:ランサムウェアとデータ侵害に見舞われた年は、SolarWindsの高度な攻撃で幕を閉じる

編集者注:以下の記事は、レポート全文の抜粋です。分析全体を読むには、 をクリックして、レポートをPDFとしてダウンロードします。

このレポートは、2020 年のマルウェアの使用、配布、開発の傾向を分析する四半期ごとのシリーズの続きです。 Insikt Groupは、2020年10月1日から12月31日まで、Recorded Future® Platformを使用して、メインストリームニュース、セキュリティベンダーのレポート、マルウェア、脆弱性、セキュリティ侵害に関する技術レポート、ダークウェブとアンダーグラウンドフォーラムを調査し、デスクトップシステムとモバイルデバイスに影響を与えるマルウェアの主な傾向を調査しました。 以下に概説する傾向は、テクノロジーに大きな影響を与えた戦術、技術、および手順(TTP)を示しています。 このレポートは、この調査とデータに基づいてハンティング手法と検出方法に優先順位を付けることにより、脅威ハンターとセキュリティ オペレーション センター (SOC) チームがセキュリティ体制を強化するのに役立ちます。

Executive Summary

2020年第4四半期、ランサムウェアのオペレーターは、キャンペーンを実施する際に引き続き日和見主義的な考え方を持ち続け、データ窃盗の恐喝に重点を置き、収益性の可能性を高めました。 Egregorの活動は四半期を通じて増加しましたが、これはおそらくMazeランサムウェアのオペレーターがシャットダウンしたためと思われます。 また、年間を通じて持続するランサムウェアファミリーであるRyukの使用が頭打ちになったため、Contiランサムウェアも増加しました。

間違いなく、2020年の最も重要なマルウェア攻撃は、この期間に一般に公開されました:SolarWindsサプライチェーン攻撃です。 この攻撃は、攻撃の巧妙さに加えて、米国政府機関、いくつかの著名なテクノロジー企業やサイバーセキュリティ組織など、影響を受ける著名な組織の数が多いため、重大でした。 この攻撃はまだ調査中であるため、標的となった被害者や使用されたインフラストラクチャに関連して、より多くの詳細が公開される可能性があります。

Trickbotは、年間を通じて持続的かつ目立つマルウェアファミリーであり、2020年11月の米国大統領選挙を前に複数の組織が協力してマルウェアのインフラストラクチャをダウンさせたため、2020年第4四半期に顕著な変化を遂げました。 これらの取り組みにより、Trickbotの活動は一時的に減少しましたが、脅威アクターがTrickbotから離れるにつれて、ディスクリートローダーマルウェアであるQakBotの使用が増加し始めました。

最後に、Androidマルウェアは今四半期も引き続きモバイルマルウェアの市場を支配しており、2つの新しいモバイルマルウェアの亜種が出現しました。 COVID-19をテーマにしたモバイルマルウェアの活動は、上半期に高かったものの、第3四半期には減少しましたが、Insikt Groupは第4四半期に活動が復活したことを確認しました。 これは、ウイルスの症例が増加し、COVID-19ワクチンに関するデジタル資産(Webサイト、モバイルアプリケーションなど)がリリースされたときに特に当てはまりました。

編集者注:この記事はレポート全文の抜粋です。分析全体を読むには、 をクリックして、レポートをPDFとしてダウンロードします。