ランサムウェア
2022年第2〜3四半期におけるランサムウェア脅威動向:猛威を振るうRaaSグループLockBit、BlackBasta
2022年の第2四半期と第3四半期に猛威を振るったランサムウェアとしては、LockBit、BlackCat、新たに登場したBlack Basta、そしてContiの攻撃グループの恐喝担当部門と見られるKarakurtがあげられるでしょう。
はじめに
2022年の第2四半期と第3四半期に猛威を振るったランサムウェアとしては、LockBit、BlackCat、新たに登場したBlack Basta、そしてContiの攻撃グループの恐喝担当部門と見られるKarakurtがあげられるでしょう。
第2四半期と第3四半期の傾向として特筆すべきは、リークサイトの被害件数に基づくとLockBitおよびBlack Bastaがそれぞれ第1位と第3位を占め、この2つのランサムウェアによる被害件数が最も多く、この6か月間でLockBitは436件、Black Bastaは101件に及んでいました。一方、Karakurtは、第3四半期のみの被害件数で第2位、第2四半期のみではBlackCatが第2位となっていました。
2022年4月から9月の期間も、攻撃者は、より大きな報酬を得ながら効率的に攻撃を実行するため、サービスとしてのランサムウェア(RaaS)モデルを引き続き駆使していました。これは第1四半期で確認された傾向と変わっていません。本稿は、2022年4月1日から9月30日までの範囲で、RaaSおよび恐喝グループや彼らが利用するリークサイトの情報が収集されたTrend Microのオープンソースインテリジェンス(OSINT)およびランサムウェアの検出情報が確認できるクラウド型技術基盤のTrend Micro™ Smart Protection Network™(SPN)からのデータに基づいています。
2022年第3四半期のランサムウェア検出台数は、前四半期比で15.2%増加しました。これはRaaSおよび恐喝グループ数が13.3%増加したこととも関連しているといえるでしょう。
SPNのデータによると、2022年第3四半期には、Eメール、URL、ファイルのレイヤーを合わせて総計4,138,110件に及ぶランサムウェア攻撃を検出してブロックしました。これは、2022年第2四半期の攻撃数3,592,433件から15.2%増となっています。
さらに2022年第3四半期でのランサムウェア恐喝グループによるリークサイトからのデータによると、被害件数は、第2四半期に比べて109件増加して18.4%増となりました。また、2022年第2四半期に比べて第3四半期のRaaSおよび恐喝グループ数は13.3%増加しました。
/ransomware-in-q2-and-q3-2022/JP-F01.jpg)
2022年第2〜3四半期、著名なランサムウェア攻撃がRaaSおよび恐喝グループのトップを占める
4月から9月にかけての6か月間、恐喝グループ利用のリークサイトからのデータによると、最も多く成功した攻撃は、悪名高いRaaS関連のランサムウェアである、LockBit、BlackCat、Black Basta、そして恐喝グループ専門で知られるKarakurtなどによるものでした。
LockBitは、2022年1月から9月まで安定して首位を維持していました。被害件数では、2022年第1四半期(35.8%)、第2四半期(34.9%)、第3四半期(40.6%)で全体の3分の1以上を占めていました。第3四半期の被害件数の約1割はKarakurtからで10.4%、次いでBlack Bastaが8.8%でした。第2四半期は、BlackCatが9.2%、Black Bastaが8.6%の割合を占めていました。
/ransomware-in-q2-and-q3-2022/JP-F02.jpg)
トレンドマイクロのSPNから得られたランサムウェア関連データによると、7月を除いて、LockBitは常に活発な攻撃を展開していたことが分かります。しかし現時点の数値から明確なパターンを読み取ることはまだ難しい状況にあります。一方、BlackCatについては7月の395件をピークに8月は1件も検出されませんでしたが、9月には175件と再び活発化しています。
Black Bastaの場合は、5月に初めて検出され、それ以降、活動は継続しています。そして8月は検出台数が84件と最も多くなっています。Karakurtの攻撃グループからの活動は、この半年間1件も検出されていません。
/ransomware-in-q2-and-q3-2022/JP-F03.jpg)
第3四半期からの新たな手口で注目を集めたLockBit
LockBitは、機能を頻繁にアップグレードさせながら、強固なアフィリエイトプログラムにより、RaaS運営で足場を固めてきています。また、この攻撃グループは、二重恐喝という手口を使うことでも知られています。二重恐喝とは、被害者の情報を暗号化してアクセスを回復させる代わりに支払いを要求するだけでなく、被害に遭った企業や組織が身代金の支払いを拒否した場合、窃取情報をダークウェブ等で公開すると脅す二段構えの手口のことです。
2022年6月下旬、LockBitは、自身の最新版である「LockBit 3.0」を発表しました。トレンドマイクロのレポートでは、LockBit 3.0が自身を隠すための解析回避技術を備えていることを指摘しています。BlackCatと同様、この技術を実行する際、RaaSの利用者はパスワードが必要ありません。
この攻撃グループは、ランサムウェア運用の中では先駆けとしてバグバウンティプログラム(脆弱性報奨金制度)を「LockBit 3.0」のリリース時に開催しました。この脆弱性報奨金制度は、ハッカーたちが発見した脆弱性を提出してもらうことで攻撃グループが自身の運営改善を試み、提供者に対価として1,000米ドルから100万米ドルの報酬を払うという制度です。自分たちの自衛を念頭に置いたこの狡猾な報奨金制度は、他のハッカーに、攻撃活動の存続に関わるリスクとなり得る脆弱性を発見してもらうように設計されています。
2022年6月18日、複数の米国大手政府機関など、幅広い層の重要な顧客にID管理・認証サービスを提供しているデジタルセキュリティ企業がLockBitの攻撃に見舞われました。この事例は、同デジタルセキュリティ企業が顧客に送ったシステム侵害による情報漏えい発生通知のスクリーンショットを、2022年7月21日、セキュリティリサーチャーDominic Alvieri氏がツイートしたことで公になりました。
8月には、分散型サービス妨害(DDoS)攻撃により、LockBitの攻撃グループがリークサイトを何度も閉鎖せざるを得なくなり、攻撃者と被害者の立場が逆転するという興味深い事例が発生しました。LockBitSuppのハンドル名で知られるLockBitの代表者は、この攻撃について、上述のセキュリティ企業の仕業であると主張しました。そしてLockBitの攻撃グループは、報復行為としてリークサイト上にこのセキュリティ企業専用のページを作成し、窃取した情報をすべて暴露すると脅迫しており、このことは同企業が身代金の支払いを拒否したことを示唆しているともいえるでしょう。
その他、Twitterユーザ「@ali_qushji」によると、自分たちのチームがLockBitのサーバの多数に侵入し、ランサムウェア「LockBit 3.0」を入手したとツイートするなど、9月もLockBitにとって波乱に満ちた月となりました。LockBit側は、このような主張を否定し、リサーチチーム「VX-Underground」が明らかにした、LockBit広報担当の話によると、この攻撃グループに不満を持つ元開発者が最新の暗号化コードを流出させたといいます。いずれにしても、流出したランサムウェアのコードは、他の攻撃により今後の別の攻撃キャンペーンに利用される危険性があります。
Karakurtによる恐喝行為
本稿で取り上げたランサムウェアの攻撃グループの中でもKarakurt(別名:Karakurt Lair、Karakurt Team)は、暗号化の手口を用いず、代わりに情報窃取および窃取情報による恐喝行為のみに特化した活動という点で際立っています。連邦捜査局(FBI)やサイバーセキュリティ社会基盤安全保障庁(CISA)などを含む複数の米国連邦機関が出した共同勧告では、北米と欧州の企業や組織を狙って数百万ドルの暗号資産を強奪しようとするこの攻撃グループについて注意喚起を実施しています。
Karakurtは、2021年6月に初めて確認され、ランサムウェアContiの「恐喝担当」であることがセキュリティリサーチャーによって明らかにされました。リサーチャーがContiの攻撃グループメンバーのメールアカウントにアクセスしたところ、このメンバーが接続していたIPアドレスは、Karakurtの攻撃者が、交渉に応じない被害者のリークサイトに使用されているものであったといいます。また、セキュリティアナリストのVitali Kremez氏によると、Karakurtは、ランサムウェア攻撃が企業・組織側の防御により暗号化の段階まで進まなかった攻撃を再利用して、収益化するためのContiによる巧妙な手段であるともいわれていました。つまりContiは、失敗したランサムウェア攻撃に対し、暗号化の手口から情報暴露の手口へ素早く切り替え、Karakurt部門を通じて収益を得ようとしており、こうした対応力も注目すべき点といえるでしょう。
米国保健福祉省(HHS)の関連機関「HC3(Health Sector Cybersecurity Coordination Center」は、Karakurtについて、医療機関や公衆衛生機関へ注意喚起するために報告書を発表しました。同報告書によると、この恐喝グループは情報を窃取した上で、身代金を支払わない場合は、窃取情報をオークションにかけたり暴露したりするという脅迫を行うとのことです。また、身代金の支払いはビットコインで2万5,000米ドルから1,300万米ドルに及び、被害者には最初の接触から1週間以内に決済するよう指示される点なども報告書に記載されています。さらに、Karakurtが被害者を辱めるために嫌がらせのキャンペーンを行う場合があることにも言及しています。
Karakurtの被害事例としては、テキサス州の医療機関を狙い、個人情報(PII)を窃取して流出させたケースがあげられます。本稿執筆の時点では、被害を受けた患者数はまだ不明です。なお、この事例への捜査によると、2022年5月20日から7月7日までの期間、ロシア語を話す攻撃グループによって病院のシステムが不正にアクセスされていた事実が判明しています。
長期的戦略で活動するBlackCat
BlackCat(別名:AlphaVM、AlphaV、ALPHV)は、2021年11月にセキュリティ機関「MalwareHunterTeam」のリサーチャーによって初めて報告され、プログラミング言語Rustで書かれた最初の本格的なランサムウェアということで、今年前半、急速に注目されました。このプログラミング言語により、攻撃者はWindowsやLinuxなどの異なるオペレーティングシステム向けのマルウェアを簡単に作成することができます。また、BlackCatは、三重恐喝の手口を用いることで、他のRaaSに対して競争力を獲得しています。三重恐喝により、第一段階の暗号化、第二段階の情報暴露だけでなく、第三段階として被害者のインフラにDDoS攻撃を仕掛けるという脅しによって身代金の支払いを要求します。
2022年5月下旬、欧州のとある連邦国家がBlackCatの攻撃グループによる被害に見舞われたことで注目されました。この攻撃グループは、ロックされたコンピューターシステムを解読するためのソフトウェアと引き換えに、500万米ドルの身代金を要求したと伝えられています。また、この攻撃により、数千台のワークステーションが危険にさらされたため、政府サービスが大規模に中断されました。
さらにBlackCatが、誰もがアクセス可能な公開リークサイトを使用し始めたことは、今後、RaaSの活動にの大きな変化をもたらす可能性があります。リークサイトは、通常、被害者やセキュリティリサーチャー、他のサイバー犯罪者からのデータの可視性を制限するTorサイト上でホストされていました。一方、BlackCatの公開リークサイトの場合、窃取された情報へ誰もがアクセスし、検索することができるため、被害者が攻撃者からの身代金支払いに応じるように要求する際、より強いプレッシャーを与えることができます。
もう1つ注目すべきは、2022年4月19日に米国連邦捜査局(FBI)が発表した注意喚起によると、BlackCatの開発者およびマネーロンダリングを行っている複数の人物が、BlackMatterやDarkSideともつながりがあったと指摘されていた点です。このことは、彼らが他のRaaSと関係を持ち、それ相当な経験および広いネットワークを備えていることを示唆しています。
相次ぐ攻撃で注目され、急速に存在感を高めたBlack Basta
Black Bastaは、二重恐喝の手口を巧みに使いこなし、マルウェアQakBotや脆弱性PrintNightmareなどのツールを含む幅広い攻撃手段を用いて、RaaS市場で急速にその地位を確立しました。Black Bastaに関するトレンドマイクロのレポートでは、この攻撃グループが対象を選ぶ際、より細かくターゲットを絞っていることを指摘しています。Black Bastaは、2022年4月に確認されたばかりですが、攻撃グループは、企業の認証情報を入手するためにアンダーグラウンドのネットワークを利用する方法や、すべてのBlack Bastaビルドにハードコード化された固有IDを付与していることなどからも分かるように、ビジネスとしての活動戦略をしっかりと把握していることが伺えます。
また、2022年4月中旬、米国の著名な医師会がBlack Bastaからのランサムウェア攻撃を受け、複数のシステムをオフラインにせざるを得なくなりました。そして攻撃グループは、攻撃発生から96時間後に、同医師会の個人情報をリークサイトに公開しました。
一方、4月にはドイツの風力発電事業者、5月にはアメリカの農機具メーカーがBlack Bastaの被害に見舞われています。両事業者から窃取された情報は、業務に支障をきたすだけでなく、リークサイト上でも公開されました。さらに2022年6月には、Linux向けのビルドを展開し、その勢いを止める気配がありません。このLinux向けバージョンは、セキュリティリサーチャーの報告事例の中から確認したもので、VMware ESXi仮想マシン(VM)を暗号化するよう設計されていました。
その他、2022年6月下旬、Black Bastaの攻撃グループは、ドイツに拠点を置く建築・建設資材の多国籍企業に対する攻撃を主張しました。この攻撃により、世界中の150の生産拠点で業務が不能になり、同社のITチームは感染を阻止するためにシステムをオフラインにせざるを得なくなりました。攻撃グループは、攻撃発生から2週間後の7月16日に、この企業の情報をリークサイトに掲載しました。
第2四半期から第3四半期にかけて中小・中堅企業での被害が大きな割合を占める
セキュリティ上の弱点を突くサイバー犯罪の性質から、一般的にセキュリティ対策が手薄であると認識されがちな企業や組織が狙われる傾向があることは驚くにはあたりません。中堅・中小企業は、サイバー攻撃に対応するためのITセキュリティのリソースが少ないため、サイバー攻撃に直面すると、経営全体が停止してしまうことをランサムウェアの攻撃者は把握しています。
LockBitのリークサイトに掲載された被害件数の情報によると、主に中小企業(従業員数200人以下)をターゲットにしており、2022年の被害件数のうち、中小企業が影響を受けた割合として第2四半期は64.6%、第3四半期は57.8%を占めていたことが判明しました。中堅企業(従業員201人以上1,000人未満)の場合は、第2四半期が18.4%、第3四半期が12.2%となっていました。そして大企業(従業員数1,000人以上)の場合は、第2四半期が12.1%で、第3四半期には16.1%とわずかに上昇しました。
2022年第2四半期のBlackCatによる被害件数のうち、中小企業を標的としたものが55.6%と半数を超え、次いで中堅企業が24.1%、そして大企業は20.4%と全体の5分の1を占めていました。
また、Karakurtによる被害の場合は、第3四半期において中小・中堅企業を狙う傾向が明確に示されていました。中小企業および中堅企業を合わせた割合は被害件数の78%を占め、大企業の割合は16%となっていました。
Black Bastaの被害件数のうち、中小企業の割合は、第2四半期で43.1%、第3四半期で40%となっていました。一方、中堅企業の割合は、第2四半期に35.3%、第3四半期に38%を占めていました。そして大企業の割合は、第2四半期に21.6%を占めた一方、第3四半期には16%に減少していました。
/ransomware-in-q2-and-q3-2022/JP-F04.jpg)
第2四半期は日用消費財やヘルスケアの業界、第3四半期は銀行やテクノロジーの業界が標的となる
2022年4月から6月にかけてのSPNデータからのランサムウェア検出台数を業界別に見ると、日用消費財(FMCG、Fast-Moving Consumer Goods)とヘルスケアが上位にランクインし、次いで、製造、公共、小売りと続いていました。
/ransomware-in-q2-and-q3-2022/JP-F05.jpg)
他方、第3四半期は、銀行とテクノロジーの業界からの検出台数が増加し、異なる様相を呈しています。また、日用消費財の検出台数は、7月に第1位、8月に第2位となりました。銀行は、8月と9月に第1位となり、テクノロジーは7月と8月にそれぞれ第2位と第3位の検出台数を記録しています。
/ransomware-in-q2-and-q3-2022/JP-F06.jpg)
2022年第2四半期および第3四半期の検出台数では、IT、金融、ヘルスケア、建設、専門サービスの業界がトップ5にランクインしています。また、これらの業界は、2022年1月から9月にかけて、一貫してRaaSや恐喝グループの標的になっています。
新型コロナ流行以前から、これらトップ5の業界は、攻撃者にとってすでに格好の標的となっていました。これらの業界の企業は、世界中に拠点があり、多くの現場作業員やリモート社員が国内外に分散し、また、一般消費者に提供するサービスの多様性などのビジネス上の特性から幅広いアタックサーフェスを有しているからです。このような背景から、RaaSの事業者はこれらの業界の企業から高額の身代金を得られる可能性が高いと考えており、事実、これらの企業は、顧客情報や、通常業務の継続性など、身代金の支払いへのプレッシャーが強い状況にあります。
/ransomware-in-q2-and-q3-2022/JP-F07.jpg)
2022年第2四半期と第3四半期におけるランサムウェア恐喝グループのリークサイトからの被害件数を見ると、ランサムウェアLockBitの場合、建設、ヘルスケア、IT、製造業、食品・日用品、専門サービスが常にトップ10にランクインしています。
/ransomware-in-q2-and-q3-2022/JP-T01.jpg)
一方、2022年第2四半期におけるランサムウェアBlackCatの被害件数を見ると、16.7%が金融で、次いで13%が法律サービスでした。これらの業界は2022年第1四半期にLockBitの被害企業で見られたものと同じです。
/ransomware-in-q2-and-q3-2022/JP-T02.jpg)
2022年第3四半期、Karakurtの場合は、図7で示されたトップ5と同じ業界をターゲットにしていました。そしてこのランサムウェアのリークサイトにおける被害件数を見ると、専門サービスで6件の被害が発生していました。また、ヘルスケア、IT、金融、建設で5件の被害が確認されました。
/ransomware-in-q2-and-q3-2022/JP-T03.jpg)
2022年第2四半期、Black Bastaの場合は、建設業の企業をターゲットにしており、検出台数では全体の16.7%を占めていました。そして2022年第3四半期、このランサムウェアのリークサイトにおける被害者を見ると、運輸を除くと、第2四半期と同じ4つの業界がターゲットとなっていました。
さらに、Black BastaのLinuxビルド(VMware ESXi VMを侵害する試みとして2022年6月にリリースされた)の報告から、このランサムウェア攻撃グループが企業をターゲットにする傾向があることも伺えます。デバイス管理の容易さやリソース利用の効率性から、企業がVMに移行する中、最小限の労力で複数のサーバを暗号化できることから、こうした企業へターゲットを移行することは、攻撃活動の戦略上でも理に適っています。
/ransomware-in-q2-and-q3-2022/JP-T04.jpg)
地域別被害件数のトップは北米および欧州の企業が占める
RaaSや恐喝グループのリークサイトを調査すると、2022年4月から9月にかけて、全体的に米国に拠点を置く企業や組織がランサムウェア攻撃の被害を受けており、第2四半期は54.9%、第3四半期は52.8%が北米からの企業や組織の被害となっていることが判明しました。また同時期、ヨーロッパ諸国でも相当数の被害件数が確認されました。
/ransomware-in-q2-and-q3-2022/JP-F08.jpg)
2022年4月から9月にかけて、北米と欧州の企業や組織がLockBitの被害件数の大部分を占めており、これらの地域が第2四半期と第3四半期に交互に第1位と第2位となっていました。これらリークサイトの被害件数から、米国と欧州を合わせて、同期間のLockBitの被害件数全体の3分の1に及んでいたことがわかります。
第2四半期から第3四半期にかけてアジア太平洋および南米・カリブ海諸国の地域では、それぞれ第3位と第4位を占めていました。アジア太平洋地域は第2四半期に17.5%、第3四半期に17.8%を占め、南米・カリブ海諸国地域は、それぞれ第2四半期に8.7%、第3四半期に8.3%となっていました。
/ransomware-in-q2-and-q3-2022/JP-F09.jpg)
BlackCatによる被害件数の大半は北米に集中しており、2022年第2四半期の被害件数全体の59.3%を占めていました。また、件数自体は2022年第1四半期から上昇傾向を示しており、約半数が米国を拠点とする企業や組織となっていました。一方、欧州の企業や組織は、被害件数全体の24.1%を占め、さらにアジア太平洋、中東、南米・カリブ海諸国の各地域にも僅かな件数が散見されます。
/ransomware-in-q2-and-q3-2022/JP-F10.jpg)
Karakurtのリークサイトの被害件数を見ると、攻撃グループは、北米に拠点を置く企業や組織を集中して狙っていたことが分かり、2022年第3四半期の被害件数全体の72.9%を占めていました。欧州は、被害件数全体の13.6%で第2位にランクインしています。この攻撃グループは、ランサムウェアContiと同様、組織化されたRaaS事業を保持しており、Contiによる攻撃でファイル暗号化に失敗した事例に対して、情報暴露等の手法を駆使して収益化する役割も有しているため、今後さらなる攻撃の展開が予想されます。
/ransomware-in-q2-and-q3-2022/JP-F11.jpg)
Black Bastaの場合、北米での被害件数は、第2四半期の28件から第3四半期の32件に増加し、被害件数全体50件の64%に相当する数に達しています。また、欧州地域でも被害も確認されており、第2四半期は被害件数全体の43.1%から、第3四半期も3分の1を占めていました。
/ransomware-in-q2-and-q3-2022/JP-F12.jpg)
セキュリティ対策とソリューションの早期導入によりランサムウェアの攻撃を阻止する
ランサムウェアによる攻撃は、現在、そして近い将来、企業や組織の健全な運営を脅かす重要な脅威の1つと考えられており、中小から大企業までその規模にかかわらず危険にさらされています。攻撃者は、利用するランサムウェアを常にアップグレードしており、他の競合する攻撃者を出し抜くために、ステルス性の高い手口を考案し、大きな金銭的利益を手に入れようとあらゆる努力を尽くしています。こうした観点からランサムウェア攻撃のリスク軽減に注力したプロアクティブな対策が不可欠であり、以下のようなベストプラクティスを推奨します。
- 多要素認証(MFA)を有効にする:機密情報への不正アクセスを阻止する追加の防御層として、特に個人用デバイスで自社のデータへアクセスや保存を行う従業員については、MFA有効化を求めるポリシーを導入すること
- データは必ずバックアップする:重要なファイルを保護するために「3-2-1ルール」に従うこと。つまり、2つの異なるファイル形式で少なくとも3つのバックアップコピーを作成し、そのうちの1つをオフサイトに保存すること
- システムを常に最新化しておく:ベンダや開発者がパッチをリリースしたら、直ちにすべてのアプリケーション、オペレーティングシステム、その他のソフトウェアを更新すること。これにより、ランサムウェアの攻撃者が脆弱性を悪用してシステムを侵害する機会を最小限に抑えることができる
- メールは開封前に確認する:攻撃者は、従業員に送られたメールの添付ファイルや本文中のリンクから実行可能ファイルをダウンロードさせ、マルウェアをインストールさせるなどの手段をとるため、従業員に対して、このような手法に騙されないためのセキュリティ教育を徹底すること
- 定評のあるセキュリティフレームワークを導入する:「車輪の再発明」を行う必要はなく、企業や組織は、CIS(Center of Internet Security)やNIST(National Institute of Standards and Technology)が作成したセキュリティフレームワークに基づいて、サイバーセキュリティ戦略を策定することができる。これらのフレームワークで説明されているセキュリティ対策とベストプラクティスは、企業や組織のセキュリティ部門が脅威を軽減するための独自の計画を策定する際の指針となる
企業や組織は、攻撃が開始される前にランサムウェアの動きを予測して対応できる多層的な検知および対応のソリューションを通じて、サイバーセキュリティインフラを強化することができます。Trend Micro Vision One™は、メール、エンドポイント、サーバ、クラウドワークロード、ネットワークなど、複数のセキュリティレイヤーのデータを収集し、自動的に関連付けるXDR(eXtended Detection and Response)機能を備え、ランサムウェア攻撃の企てを阻止することができます。
また、NDR(Network Detection and Response)機能を備えたソリューションにより、ネットワークトラフィックをより詳細に可視化することができます。Trend Micro Network One™は、セキュリティ部門が環境を明確に把握し、対応を迅速化し、将来の攻撃を回避するために必要なネットワークテレメトリーを提供します。
なお、RaaSや恐喝グループのリークサイト、トレンドマイクロのOSINT調査、SPNのデータなど、本稿の補足データシートは、こちらからダウンロードできます。
参考記事:
LockBit and Black Basta Are the Most Active RaaS Groups as Victim Count Rises: Ransomware in Q2 and Q3 2022
By: Trend Micro Research
翻訳:与那城 務(Core Technology Marketing, Trend Micro™ Research)