ランサムウェア
Conti vs. LockBit:ランサムウェア攻撃グループの比較分析
トレンドマイクロでは、データ解析のアプローチにより、ランサムウェア攻撃グループContiとLockBitの標的およびビジネスモデルを比較しました。なお、この内容は2022年6月27日に開催された第34回FIRSTカンファレンスで発表されました。
トレンドマイクロでは、2019年11月より複数のランサムウェア攻撃グループのリークサイトを監視し、これらの攻撃グループによって被害を受け情報が暴露された企業・組織の件数や構成を継続的に調査しています。これまでの調査の結果、ContiとLockBitは、他のランサムウェアファミリーと比べて被害を受けた企業や組織の総数で際立っています。このデータを分析することで、サイバー犯罪の攻撃グループの活動や意思決定についてより深く理解することが今回の調査の目標でした。なお、Contiの活動がオフラインになったという報告もありますが、現在の活動状況に関わらず、この攻撃規模は今回の調査における優れたケーススタディになっています。
情報暴露の被害を受けた企業や組織の数(2019年11月から2022年3月まで)とランサムウェアファミリー上位10種類を確認すると、ContiとLockbitの活動が突出しており、この2つで全インシデントの45%近くを占めています。
順位 |
ランサムウェアファミリー |
被害件数 |
|---|---|---|
1 |
Conti |
805 |
2 |
Lockbit |
666 |
3 |
Maze |
330 |
4 |
REvil/Sodinokibi |
309 |
5 |
Pysa |
307 |
6 |
DoppelPaymer |
206 |
7 |
Egregor |
197 |
8 |
Avaddon |
184 |
9 |
NetWalker |
178 |
10 |
Clop |
119 |
本稿では、この2大ランサムウェアファミリーの被害企業や組織の特徴を比較分析することで、その攻撃傾向の違いを明らかにしています。
被害件数の月別推移
/conti-vs-lockbit-a-comparative-analysis-of-ransomware-groups/JP-Image01.jpg)
2020年8月以降、月毎の増減はあるものの、Contiによる月別被害件数はほぼ一定です。一方、LockBitの場合は、2020年9月以降の月別被害件数は1~3件のみと非常に少なくなっていました。また、2021年1月以降、LockBitのリークサイトは活動を停止しており、被害は報告されていません。しかし、2021年7月からの「LockBit 2.0」による活動再開後、被害件数はContiを上回り、最も活発なランサムウェアファミリーとなりました。その結果、被害件数の総数ではLockBitが急速に追い上げ、2022年3月時点では、2022年8月にはContiを抜いて被害件数において最大のランサムウェアファミリーになる可能性があると予測されていました。しかし、Contiは2022年5月の時点でリークサイトを閉鎖して別の攻撃活動を画策していることから、LockBitは、予想より早くContiを追い抜くことになるでしょう。
/conti-vs-lockbit-a-comparative-analysis-of-ransomware-groups/JP-Image02.jpg)
被害件数の地域別分布
/conti-vs-lockbit-a-comparative-analysis-of-ransomware-groups/JP-Image03.jpg)
被害を受けた企業や組織の所在地域を見ると、Conti と LockBit には大きな違いがあることが分かります。Contiの場合、被害を受けた企業や組織の93%が北米とヨーロッパであり、この2地域に集中していました。これに対し、LockBitの場合は、これらの2地域に占める割合は68%程度でした。この点で被害を受けた企業の組織の所在地域は、LockBitの方が分散していると言え、アジア太平洋地域、中南米、中東などでも多くの被害が確認されています。
Conti と LockBit が被害を受けた企業や組織の地域分布に合わせ、地域別の GDP 分布を確認してみると、アジア太平洋を除き、LockBit の被害地域分布の方が GDPの 分布に近いことが分かります。この点から、LockBitは、Contiよりも複数の地域に対してより広範な攻撃を展開しているようにも見えます。
/conti-vs-lockbit-a-comparative-analysis-of-ransomware-groups/JP-Image04.jpg)
アジア太平洋地域で被害に遭った企業や組織の国や地域をさらに詳しく見みると、Contiの場合は、オーストラリア、インド、ニュージーランド、シンガポールなどの英語圏での被害が多いことが分かります。一方、LockBitは、やはりより多くの国々に広く分布しています。
/conti-vs-lockbit-a-comparative-analysis-of-ransomware-groups/JP-Image05.jpg)
ContiとLockBitの双方とも、アジア太平洋地域のGDPと比較して被害件数が少ない点も特筆されます。これは、攻撃グループがこの地域の国々を狙って企業や組織のネットワークから機密情報を探索する際、現地の言葉や文字が障壁となった可能性があることも示唆されます。
被害を受けた企業や組織の分布の月別推移を単純移動平均値で見ると、欧州地域の企業や組織に対するContiの攻撃は増加傾向にあることが分かります。
/conti-vs-lockbit-a-comparative-analysis-of-ransomware-groups/JP-Image06.jpg)
また、下図のとおり、上位2地域以外の数値を見ると、アジア太平洋地域の企業や組織に対するContiによる攻撃が増加傾向にあることも理解できます。
/conti-vs-lockbit-a-comparative-analysis-of-ransomware-groups/JP-Image07.jpg)
一方、LockBitの場合は、欧州の企業や組織に対する攻撃がやや増加していますが、他の地域での分布はほぼ横ばいとなっています。
/conti-vs-lockbit-a-comparative-analysis-of-ransomware-groups/JP-Image08.jpg)
業界別の被害件数
被害件数を業界別に見ると、Conti、LockBitともに各業界にほぼ均等に分布しており(上位15業界は同順)、特定の業界を狙うという傾向にないようです。このことから、双方とも特定の業界や業種をターゲットにしているわけではないことが分かります。
/conti-vs-lockbit-a-comparative-analysis-of-ransomware-groups/JP-Image09.jpg)
従業員数別の被害件数
被害件数を従業員数別で見ると、LockBitは、Contiに比べて小規模な企業や組織へより多くの被害を及ぼしていることが分かります。
/conti-vs-lockbit-a-comparative-analysis-of-ransomware-groups/JP-Image10.jpg)
また、移動平均の月別推移を見ると、LockBitは人数比が安定しているのに対し、Contiは比較的変動が大きく、攻撃傾向もあまり安定していないことが分かります。
/conti-vs-lockbit-a-comparative-analysis-of-ransomware-groups/JP-Image11_Conti.jpg)
/conti-vs-lockbit-a-comparative-analysis-of-ransomware-groups/JP-Image11_LockBit.jpg)
結論
データから見えるこれらの特徴は、脅威に関するさまざまな知見や情報と照合することで、より深い検証が可能となります。例えば、Contiは、旧ソ連諸国や中国などロシアの同盟国は標的にしないと宣言しています。また、より多くの身代金を得るために、より多くの収益があり、資金的に余裕のある大規模な企業や組織をターゲットにすることを好む傾向があるとも報告されています。
一方、LockBitの場合は、政治的なつながりに影響されることなく、金銭的な動機のみでターゲットを選定していると表明しています。また、首謀者は香港在住ともいわれています。攻撃者自身が居住する国や地域の企業や組織を標的にすると、現地の法執行機関による捜査や逮捕を受けるリスクが高まるため、攻撃者の安全確保の観点から、居住する国や地域の企業や組織を標的にしないことは当然の戦略といえるでしょう。
本稿で紹介したようなデータ分析のアプローチを他のランサムウェアにも適用し、さまざまな脅威情報やリーク情報等を照合することで、各ランサムウェアの特徴を深く分析することが可能となります。さらにこれにより、攻撃者のターゲットやビジネスモデルへの洞察を深めることも可能となり、攻撃者や攻撃グループの動向の変化にいち早く気づくことができます。これらのデータは、現状認識と予測の双方においてセキュリティ対策でどこに投資すべきかを把握し、ネットワークの対策、リスクを把握したい保険会社、法執行機関の専門家など、さまざまな人々にとって非常に貴重なものとなります。
なお、本稿で紹介したランサムウェア関連データの分析に関する詳細やアプローチについては、2022年6月27日にダブリンで開催された「第34回FIRST カンファレンス」においてトレンドマイクロのVladimir Kropotov氏とWaratah Analytics社のEireann Leveret氏によって発表されました。
参考記事:
• 「Conti vs. LockBit: A Comparative Analysis of Ransomware Groups」
By: Shingo Matsugaya, Matsukawa Bakuei, Vladimir Kropotov
翻訳:与那城 務(Core Technology Marketing, Trend Micro™ Research)