オーストラリアにおけるランサムウェアのトレンド:2021年から2022年
Executive Summary
ランサムウェアの脅威アクターは、攻撃の数が世界的に増加するにつれて、適応と進化を続けています。 オーストラリアにおけるランサムウェアのトレンドも同様の傾向に直面しています。ランサムウェア・アズ・ア・サービス(Raas)の拡大により、ランサムウェアギャングを撲滅するための世界的な法執行機関の取り組みにもかかわらず、ランサムウェアはより身近なものになりました。 ロシアのウクライナ侵攻などの地政学的な出来事により、ランサムウェアは減少しましたが、全体的な軌道は上昇し続けています。 ダークウェブや特別アクセスフォーラムのイニシャルアクセスブローカー(IAB)は、ランサムウェアのアフィリエイトが侵害されたネットワークにアクセスするために不可欠です。 ランサムウェアのペイロードが展開される前は、脅威アクターは偵察、水平移動、アクセスのエスカレーション、流出のために「前駆体マルウェア」に依存しています。 組織は、初期アクセスの売上を特定したり、ネットワーク上の前駆マルウェアを検出したりすることができれば、ランサムウェア攻撃を軽減できます。
主な調査結果
- オーストラリアでは、地政学的な出来事により顕著な減少をもたらしたにもかかわらず、ランサムウェア攻撃は月平均6件報告されています。 2021年と2022年、LockBitはオーストラリアを標的にしたギャングの中で最も多作なギャングとなりました。 しかし、2021年11月末にロシアを拠点とする新たなランサムウェアグループ「ALPHV」が出現し、2022年にはオーストラリアを標的としたランサムウェア集団として瞬く間に支配的な存在となりました。
- ランサムウェア攻撃を成功させるために、脅威アクターは侵害されたネットワークへのリモートアクセスを必要とします。 ランサムウェアのアフィリエイトは、ダークウェブや特別アクセスフォーラムでこれらのアクセスを購入することがよくあります。 その後、アフィリエイトは「前駆体マルウェア」を使用して、システム内を横方向に移動し、権限を昇格させ、ランサムウェアをデプロイします。
背景
近年、ランサムウェアは、現代のITベースの経済や社会のほとんどにとって深刻な脅威となっています。 ランサムウェアがスパイ活動などの他のサイバー脅威と異なるのは、社会への直接的な害と、影響を受けるシステムの可用性です。
オーストラリアでは、ランサムウェア攻撃が多くの組織に重大な問題を引き起こしています。病院は重要な患者の病歴にアクセスできず、選択的手術が大幅に遅れています(Eastern Health)。電気通信サプライヤーが混乱している(Schepisi Communications)。カジノは閉鎖を余儀なくされています(フェデラルグループ)。機密性の高い政府職員のデータが盗まれる(Frontier Software)。テレビネットワークはオフラインになります(チャンネル9)。 ランサムウェアのインシデントは、直接的な影響に加えて、収益の損失、不信感、フラストレーションの原因にもなります。
ランサムウェア攻撃の影響により、世界中の政府はランサムウェアを深刻な脅威と認識するようになり、世界中の法執行機関はランサムウェアのオペレーター(Egregorなど )とファシリテーター(Emotetなど )の両方に対して厳しく取り締まっています。 オーストラリアでは、新しい法律により、サイバー犯罪者を阻止するための 追加の権限が法執行 機関に与えられ、 重要インフラのリスク管理プログラムが義務付けられました。 しかし、これらの取り組みにもかかわらず、ランサムウェア攻撃の数は、世界とオーストラリアの両方で増加し続けています。 本レポートでは、2021年1月1日から2022年6月30日までのオーストラリアにおけるランサムウェアの状況を概観しています。 これは、過去のランサムウェア攻撃の独自のデータセットに基づく、オーストラリア固有の詳細な分析を提供します。 最後に、このレポートは、ランサムウェアが展開される前の段階の重要性を強調する 、以前のRecorded Futureの調査 結果に基づいています。 このレポートでは、ダークウェブマーケットプレイスで販売されているオーストラリアの初期アクセスと、オーストラリアを標的とする初期段階のマルウェアを特定することで、組織がランサムウェアに対してどのように軽減できるかを明確に示しています。
技術的分析
データ収集
本レポートの分析は、過去2年間に収集された公開情報から構成される独自のデータセットに基づいています。 ランサムウェア攻撃のほとんどは、専用のリークWebサイト(ランサムウェアのオペレーターが一般の人々とコミュニケーションを取り、被害者を恐喝するために使用するWebサイト)を通じて検出されました。 少数の攻撃は、影響を受けた組織による開示レポート、ニュース報道、およびその他の情報源を通じて手動で発見されました。 実際の攻撃数は、オーストラリアが(ほとんどの国と同様に)現在、ランサムウェア攻撃の報告義務を持っていないこともあって、かなり多いと思われます。 初期アクセスによる販売はすべて、ExploitやXSSフォーラムなどのダークウェブマーケットプレイスで観察されました。 マルウェア イベントは、ネットワークを通過するデータを監視および分析し、敵対者を検出して対応するメカニズムを提供する業界用語であるネットワーク トラフィック分析 (NTA) を通じて検出されました。 Recorded Futureは、攻撃者が攻撃を構築、ステージング、および開始する際に、攻撃者とその被害者との間のこの中間トラフィックを観察する方法を開発しました。 このコレクションは、オーストラリアを標的とする悪意のあるトラフィックのほんの一部にすぎません。悪意のあるコマンド&コントロール(C2)インフラストラクチャにビーコンを発するオーストラリアのIPの実際の数は、はるかに多い可能性があります。
オーストラリアのランサムウェアのトレンド 2021 年から 2022 年
ほとんどのサイバー脅威と同様に、ランサムウェア攻撃も適応し、進化し続けています。 私たちは以前、この進化を形作った被害者学、技術の洗練度、組織構造、恐喝スキームの 5つのハイレベルなトレンド について報告しました。
ランサムウェア攻撃はオーストラリアを免れず、メディア報道の増加や、犯罪シンジケートがランサムウェアにアクセスしやすくするランサムウェア・アズ・ア・サービス(Raas)モデルの拡大により、記録された攻撃の数は増え続けています。 このセクションでは、2021年と2022年にオーストラリアの組織に対して発生したランサムウェア攻撃の概要を説明します。
ランサムウェアは増加しています
2021年1月1日から2022年6月30日まで、オーストラリアで報告されたランサムウェア攻撃の数は、世界のランサムウェア攻撃と同様の軌跡をたどり続けています(図1を参照)。 このようなランサムウェア攻撃の増加傾向は、以下の要因に起因する可能性があります。
- より高い活動: 2022年にオーストラリアを標的としたランサムウェアギャングは少なかったものの、2021年にすでに活動していた大規模なギャングは、2022年にさらに活動を増やしました(図2参照)。 他の理由の中でも、これはRaaSモデルの強化効果に関連している可能性があります。
- より高い身代金とより多くのメディア報道: より高い身代金が要求されるようになったため、被害者組織が世間の注目を集めずに身代金を支払うことは難しくなっています。 また、 政府がランサムウェアインシデントの報告を迫ったため、オーストラリアで報告される攻撃の数が増加しています。
図 1: Ransomware attacks in Australia and globally by month from January 1, 2021 to June 30, 2022 (Source: Recorded Future)
時事問題に対する反応
2021 年 1 月 1 日から 2022 年 6 月 30 日までの間に、オーストラリアの組織を標的としたランサムウェア攻撃は月平均 6 件発生していますが、以下の点に関連するいくつかの例外があります。
- ロシア/ウクライナ紛争: 2022年2月のロシアによるウクライナ侵攻をきっかけに、ランサムウェア攻撃は世界的にもオーストラリアでも減少しました。 しかし、ランサムウェアの数はその後数か月で着実に増加しています。
- Contiの解散: 2022年5月にContiが正式に 閉鎖 されるまで、グループはいくつかの挫折を経験し、それが彼らの活動に影響を与えた可能性があります。 2022年2月、Contiはウクライナの回避後、正式にロシア に味方 しました。 これにより、Jabberサーバーから60,000件以上のメッセージが 漏洩しました。 2022年5月、グループのほとんどのサーバーがシャットダウンされたと報告されました。
- プーチン大統領とバイデン大統領の会談: 2021年6月の攻撃の減少は、2021年7月9日に予定されていたプーチン大統領とバイデン大統領の会談に関連していると考えられています。 この会議では、ランサムウェアが議題の上位にあり、多くのランサムウェアオペレーターに対する政府の将来の許容度について不確実性が伴いました。
- Emotetのテイクダウン: 2021年2月の攻撃の減少は、重要なランサムウェアファシリテーターであるEmotetの 停止 と、この時期にEgregorがシャットダウンしたことに関連していると考えられています。 2021年11月、Emotet が再浮上し、 更新された 亜種はネットワークトラフィックを暗号化し、影響を受けたネットワークからシステム情報を収集することができました。
これらの例外は、Recorded FutureのRansomware Trackerで グローバルな視点からランサムウェア攻撃 を見るときにも観察できます。
オーストラリアを狙っているのは誰か
2021年、LockBit 2.0はオーストラリアで最も活発なランサムウェア集団であり、2022年6月にLockBit 3.0にブランド名を変更して、2022年も活動を続けています。しかし、2021年10月にREvil(Sodinokibi)が閉鎖され、その数週間後にBlackMatterが消滅したことで、洗練されたランサムウェアアフィリエイトプログラムに新たな市場機会が開かれました。ロシアを拠点とする新しいランサムウェア「ALPHV」は、2021年11月末に出現し、2022年にオーストラリアを標的とする主要なランサムウェア集団に急速に成長しました。APLHVとREvilおよび BlackMatterの類似性はよく報告されています。注目すべきことに、2021年には、ランサムウェアギャングによるものではない攻撃が多数発生しました。これは、組織がどのギャングが自分たちを攻撃したのかを知らない、または公表しない、または事件が恐喝ウェブサイトに掲載されていないことが原因の可能性があります。
図 2: Ransomware attacks in Australia by group and year from January 1, 2021 to June 30, 2022 (Source: Recorded Future)
初期アクセス
組織がランサムウェアの被害に遭った場合、緩和戦略と防止戦略が効果的になるには遅すぎます。組織は代わりにダメージコントロールに移行します。 これまでの レポート では、ダークウェブやスピークアクセスフォーラムで、侵害されたネットワークへのリモートアクセスや 侵害された認証情報 を販売する 「イニシャルアクセスブローカー」(IAB) の重要性が強調されていました。これらのアクセスは、脅威アクターがマルウェアローダーの展開、データの流出、そして最終的にはランサムウェアの展開などの攻撃を成功させるために必要です。 このような攻撃の初期段階では、緩和戦略と防止戦略が最も効果的になります。 漏洩した認証情報、営業へのアクセス、ネットワーク上のマルウェアを特定することで、組織はランサムウェア攻撃のリスクを軽減できます。
販売のためのオーストラリアのアクセス
オーストラリアの企業ネットワークへのアクセスは、Exploit、XSS、Rampなどのロシア語のトップレベルのフォーラムで販売されていることが多いですが、BreachForumsや今は亡 きRaid Forumsなど、英語を話す低層または中級のフォーラムでアクセスを購入することもできます。
**図3:ダークウェブや特別アクセスフォーラムで販売されているオーストラリアのアクセス(出典:Recorded Future)
図 4: Australian accesses for sale on Exploit and XSS Forums (Source: Recorded Future)
脅威アクターが一貫してオーストラリアのアクセスを販売しているという点では、明らかな傾向はありません。これらの脅威アクターは単に日和見主義である可能性があり、逮捕を避けるために頻繁に名前を変更します。
前駆体マルウェア
Ransomware is the last stage of the initial attack; threat actors often rely on “precursor malware” for reconnaissance, lateral movement, access escalation, and exfiltration prior to deploying the ransomware payload. Trickbot and Emotet have previously been observed as precursor malwares for Conti and Ryuk ransomware, respectively. Before their shutdown, IcedID was associated with Egregor and Maze ransomware attacks and had subsequently been observed in the deployment of REvil. QakBot has been used for lateral movement in recent Black Basta ransomware attacks and has previously been observed in Prolock and Egregor ransomware attacks. Early this year Dridex was linked with an Entropy ransomware campaign, but it was previously associated with Evil Corp and their WastedLocker and Hades ransomwares. If organizations can detect and remediate precursor malware through the deployment of detection rules or network monitoring, it may help mitigate against ransomware. To take one example, on November 27, 2021, Australian energy provider CS Energy was listed on Conti ransomware’s extortion website (Conti.News) following a successful ransomware attack. The previous day, an IP address that resolved to CS Energy’s VPN was observed communicating with IP 149.154.159[.]165, which at the time was suspected to be a Cobalt Strike command-and-control (C2) server.
図 5: Malware targeting Australia (network traffic analysis) (Source: Recorded Future)
2021年11月以降、NTAを通じてオーストラリアを標的としたマルウェアイベントでは、Qakbotは2021年11月から2022年2月にかけて、 世界的なディスラプションキャンペーンに続いて活発なキャンペーンを行ってきました。 最近では、2022年5月と6月に、Emotetは、2021年1月に法執行機関によって 取り壊 されたインフラストラクチャの 再構築 に続いて、オーストラリアを標的にしています。
今後の展望
オーストラリアのランサムウェアに関するこのレポートでは、過去18か月間のハイレベルな傾向について説明しています。 これらの傾向には、大規模な組織を攻撃する傾向、技術の高度化、RaaSが事実上のビジネスモデルとなる組織の専門化、多面的な恐喝スキーム、国際化の進展などがあります。このような傾向の中、オーストラリアでは2021年1月から2022年6月にかけてランサムウェア攻撃の件数が増加しました。
これまでの傾向に基づけば、Egregor、 REvil、 Darksideなどのランサムウェアギャングを撲滅するための世界的な取り組みや、Contiのように自発的な解散にもかかわらず、ランサムウェア攻撃は増加し続ける可能性が高いと思われます。 以前のグループが衰退すると、LockBitなどの他のグループが台頭し、ALPHVのような新しいグループが出現します。
脅威アクターは、IABや前駆マルウェアを引き続き使用して、新たなアクセスを獲得し、既存のアクセスを開発しようとします。 ランサムウェアのアフィリエイトが侵害されたネットワークに初期アクセスを取得するための最も効果的な方法の1つは、ダークウェブや特別アクセスフォーラムでIABを使用することです。 このアクセス権を取得すると、ランサムウェアの攻撃者は、特権昇格、水平移動、データ流出に先駆的なマルウェアを使用します。 組織がランサムウェア攻撃を軽減する最も効果的な方法は、初期アクセスの売上を特定するか、ネットワーク内の悪意のあるアクティビティを検出することです。
関連ニュース&研究