脅威アクターがゼロデイエクスプロイトに軸足を移し、ランサムウェア被害者が急増

攻撃者がゼロデイ脆弱性やワンデイ脆弱性を利用して標的ネットワークに侵入するケースが増えたため、ランサムウェア攻撃の被害者となった組織の数は、143 年の第 2022 四半期から今年の第 XNUMX 四半期の間に XNUMX% 増加しました。

これらの攻撃の多くでは、攻撃者は被害組織に属するデータを暗号化することをそれほど気にしませんでした。 代わりに、彼らは機密データを盗むことだけに焦点を当て、データを他人に販売または漏洩すると脅して被害者を恐喝しました。 この戦術により、堅牢なバックアップおよび復元プロセスを備えていた企業さえも窮地に追い込まれました。

急増する犠牲者

アカマイの研究者 トレンドを発見した 彼らが最近、90 のランサムウェア グループに属する漏洩サイトから収集したデータを分析したときのことです。 リーク サイトは、ランサムウェア グループが通常、攻撃、被害者、暗号化または流出した可能性のあるデータに関する詳細を公開する場所です。

Akamai の分析により、ランサムウェア攻撃に関するいくつかの一般的な概念が完全に真実ではなくなっていることがわかりました。 同社によれば、最も重要なことの XNUMX つは、最初のアクセス手段としてのフィッシングから脆弱性の悪用への移行です。 Akamai は、いくつかの主要なランサムウェア運営者が、攻撃に使用するために、社内調査またはグレーマーケット情報源から調達してゼロデイ脆弱性を取得することに重点を置いていることを発見しました。

注目すべき例の 0 つは、Fortra の GoAnywhere ソフトウェアのゼロデイ SQL インジェクション脆弱性を悪用した ClXNUMXP ランサムウェア グループです (CVE-2023-0669) 今年初めに、多数の有名企業に侵入しました。 XNUMX 月には、同じ攻撃者が別のゼロデイ バグを発見し、今回は Progress Software の MOVEIt ファイル転送アプリケーションを悪用しました (CVE-2023-34362) — 世界中の数十の主要組織に侵入します。 Akamai は、Cl0p がゼロデイ バグを悪用し始めてから、2022 年の第 XNUMX 四半期から今年の第 XNUMX 四半期の間に、被害者の数が XNUMX 倍に急増したことを発見しました。

ゼロデイ脆弱性の悪用は特に新しいことではないが、ランサムウェア攻撃者の間でゼロデイ脆弱性を大規模な攻撃に利用するという新たな傾向が顕著になっているとアカマイは述べた。

「特に懸念されるのは、ゼロデイ脆弱性の社内開発です」と、Akamai セキュリティ リサーチの CORE チームの責任者であるエリアド キムヒ氏は言います。 「最近の 0 つの大規模な攻撃で ClXNUMXp がこれを確認しており、他のグループもこれに倣い、そのリソースを活用してこの種の脆弱性を購入し調達することが予想されます。」

他の例では、LockBit や ALPHV (別名 BlackCat) などの大手ランサムウェア組織が、組織がベンダーの修正プログラムを適用する前に、新たに公開された脆弱性に飛びつき、大混乱を引き起こしました。 このような「初日」の脆弱性の例としては、次のようなものがあります。 2023 年 XNUMX 月の PaperCut の脆弱性 (CVE-2023-27350 および CVE-2023-27351) と、ESXiArgs キャンペーンの運営者が悪用した VMware の ESXi サーバーの脆弱性。

暗号化から抽出への転換

Akamai はまた、BianLian キャンペーンの背後にいる者など、一部のランサムウェア オペレーターがデータ暗号化から完全に方向転換していることも発見しました。 データ窃盗による恐喝。 この切り替えが重要な理由は、データ暗号化により、組織が十分に堅牢なデータのバックアップと復元プロセスを備えていれば、ロックされたデータを取得できる可能性があるためです。 データ盗難の場合、組織はその機会を得ることができず、代償を支払うか、脅威アクターによってデータが公に漏洩される危険を冒さなければなりません。さらに悪いことに、データを他者に販売することになります。

キムヒ氏によると、恐喝の手口の多様化は顕著だという。 「データの流出は、ある意味でファイルの暗号化に次ぐ追加の手段として始まった」と Kimhy 氏は指摘します。 「現在では、これが恐喝の主な手段として使用されていることがわかります。つまり、ファイルのバックアップなどでは十分ではない可能性があります。」

Akamai のデータセット内の被害者のほとんど (実際、その約 65%) は、報告されている収益が最大 50 万ドルの中小企業でした。 ランサムウェアの最大の標的として認識されることが多い大規模組織は、実際には被害者の 12% にすぎませんでした。 製造会社が攻撃に遭遇した割合が不釣り合いなほど多く、次いで医療機関と金融サービス会社が続きました。 重要なのは、ランサムウェア攻撃を経験した組織は、最初の攻撃から XNUMX か月以内に XNUMX 回目の攻撃を経験する可能性が非常に高いことを Akamai が発見したことです。

フィッシングを防御することが依然として非常に重要であることを強調することが重要だとキムヒ氏は言います。 同時に、組織は新たに明らかになった脆弱性へのパッチ適用を優先する必要があります。 同氏はさらに、「敵対者、脅威の表面、使用、好まれ、開発された技術、特に、どのような製品、プロセス、人材を開発する必要があるかを理解することなど、私たちが行ってきた同じ推奨事項が今でも当てはまります」と付け加えた。最新のランサムウェア攻撃を阻止します。」

• SEO を活用したコンテンツと PR 配信。 今日増幅されます。
• PlatoData.Network 垂直生成 Ai。 自分自身に力を与えましょう。 こちらからアクセスしてください。
• プラトアイストリーム。 Web3 インテリジェンス。 知識増幅。 こちらからアクセスしてください。
• プラトンESG。 自動車/EV、 カーボン、 クリーンテック、 エネルギー、 環境、 太陽、 廃棄物管理。 こちらからアクセスしてください。
• ブロックオフセット。 環境オフセット所有権の近代化。 こちらからアクセスしてください。
• 情報源： https://www.darkreading.com/threat-intelligence/ransomware-victims-surge-as-threat-actors-pivot-to-zero-day-exploits