自動化された偵察と大規模な脆弱性の悪用が、ランサムウェア・アズ・ア・サービス(RaaS)グループの繁栄をここ数四半期で後押ししていると、ReliaQuestは警告しています。
脅威インテリジェンス企業である同社によると、こうした手法が2025年第2四半期にQilinやAkiraといったグループを勢いづかせました。QilinはFortinetの脆弱性CVE-2024-55591およびCVE-2024-21762を悪用し、AkiraはSonicWallのバグCVE-2024-40766やCiscoの脆弱性CVE-2023-20269に注目しました。
ReliaQuestはまた、Clopによる大規模な脆弱性悪用の事例にも言及しています。ClopはCleoのマネージドファイル転送製品のゼロデイ(CVE-2024-50623)やMoveIT(CVE-2023-34362)を標的としました。
新興のRansomHubも、Scattered Spiderのアクターをアフィリエイトに持ち、自動化と脆弱性悪用の組み合わせから恩恵を受けています。特に、リモート管理ソフトウェアSimpleHelpのCVE-2024-57726、CVE-2024-57727、CVE-2024-57728に対して連鎖的なエクスプロイトを実施し、FortinetのCVE-2023-27997やApache OpenWireのCVE-2023-46604も標的としています。
脆弱性悪用に関する詳細:Fortinet、ファイアウォールにおける重大なゼロデイ脆弱性を確認
これらの攻撃の標的は、未知、管理されていない、または十分に理解されていない資産であることが多いとReliaQuestは主張しています。
「これらの隠れた資産は、迅速なパッチ適用が困難、あるいは不可能な場合が多く、概念実証(POC)エクスプロイトが公開されるまでの間、重大な脆弱性にさらされ続けます。例えば、今四半期にQilinをランサムウェアのトップに押し上げたCVE-2024-21762がパッチ適用された1か月以上後でも、セキュリティ研究者は15万台以上のFortinet FortiOSおよびFortiProxyデバイスが依然として脆弱なままであることを発見しました」と同社は説明しています。
「未修正のCVEは、RaaSグループに自動化された悪用ツールの開発機会を与え、攻撃の迅速化と防御側の対応時間の大幅な短縮を可能にします。」
こうした手法により、QilinやDragonForceのようなグループは2025年第2四半期に繁栄しました。両グループは被害者数が前四半期比でそれぞれ80%、115%増加した一方、Clopのような既存の有名グループは減少しました。
AIがランサムウェアをさらに強化する可能性
ネットワーク防御担当者にとって懸念されるのは、脅威アクターがAIをどのように採用し、脆弱性調査や悪用活動をさらに加速させるかという点です。
英国国家サイバーセキュリティセンター(NCSC)は、AIがサイバー侵入の特定要素を「より効果的かつ効率的」にし、「サイバー脅威の頻度と強度の増加」をもたらすと警告しています。
この点で、重要インフラのサプライチェーンや運用技術資産は特にリスクにさらされていると同センターは主張しています。
「システム所有者はすでに、脅威アクターが悪用する前に開示された脆弱性を特定し、緩和するための競争に直面しています」とNCSCは述べています。
「開示から悪用までの期間は数日に短縮されており、AIによってこの期間はさらに短くなることはほぼ確実です。」
しかし、脆弱性の悪用はランサムウェアアクターが好む唯一の初期アクセス手法ではありません。
KnowBe4によると、2024年11月1日から2025年2月15日までの間、フィッシング攻撃を通じて配信されたランサムウェアのペイロードが前の3か月と比べて58%増加したことが観測されています。
翻訳元: https://www.infosecurity-magazine.com/news/automation-vulnerability/