The Gentlemenランサムウェアが最多発グループの座をQilinから奪取

The Gentlemenランサムウェアグループは、3か月間で最も多くの攻撃を行った集団となり、その件数は300件に上りました。

The GentlemenはQilinランサムウェアアフィリエイト集団を追い抜きました。Qilinは前年を通じて四半期ごとに最も活発なグループでしたが、5月から3月にかけての同集団のインシデント件数は289件にとどまり、2番目に多いグループへと後退しています。

この期間のランサムウェア動向に関する分析は、ReliaQuestのサイバーセキュリティ研究者らによってまとめられ、7月16日に公開されました。

データ漏洩サイトへの投稿を通じて追跡された被害者に関する主張は、11のランサムウェアグループによるもので合計1368件に上り、被害は99か国に及んでいます。

The GentlemenとQilinによるランサムウェアインシデントの件数は、他の著名なランサムウェア集団と比べて大きな差をつけています。DragonForceAkiraLockBitは、この期間にそれぞれ150件から100件程度のインシデントが確認されています。

関連記事: ランサムウェアがサイバーセキュリティ分野で最も根強く、コストのかかる脅威であり続ける理由

これら3つのランサムウェア集団は近年最も重大なインシデントの数々を引き起こしてきましたが、Qilinと同様に、比較的新参のグループに追い抜かれた形となりました。

ReliaQuestのセキュリティアナリスト、Tristano Di Liberto氏は次のように記しています。「The Gentlemenが最も活発なグループとなった背景には、積極的なアフィリエイト勧誘と、新規参入者でも扱いやすいよう十分にパッケージ化された侵入キットの存在があります」

さらに同氏は「The Gentlemenがもたらす脅威の圧力は、第3四半期にも続く可能性が高いでしょう」と付け加えています。

ReliaQuestによるThe Gentlemenの分析では、このランサムウェア・アズ・ア・サービス事業のアフィリエイトに提供される、あらかじめパッケージ化された使いやすいツール群が、同グループ台頭の大きな要因になっているとみられています。

こうしたツールには、アフィリエイトが参照できるプレイブックが含まれており、攻撃の連鎖やワークフローの手引き、悪用対象とすべきエッジデバイスの選定方法、コマンドサーバー向けの軽量トンネリングツールの使い方、シングルホストのServer Message Block(SMB)暗号化の展開方法などが指南されています。

流出したチャットログからは、The Gentlemenが他の一部のサイバー犯罪集団と同様に、AIツールの力を活用して開発や新バージョンの提供を加速させており、AI活用に踏み切っていない競合ランサムウェアグループよりも速いペースでそれを実現していることがうかがえます。

ReliaQuestによれば、これが引き金となり、アフィリエイトが現在利用しているサービス提供者を見限り、The Gentlemenへと乗り換える可能性があるといいます。

Di Liberto氏は「同グループは実績のあるアフィリエイト網の処理能力を維持しつつ、AIによる高速化されたビルドパイプラインを通じてほとんどの競合他社よりも速くツールを提供し、立ち上げの手間を省くあらかじめパッケージ化された侵入キットを提供しています」と述べています。

ランサムウェア攻撃から身を守るため、ReliaQuestはサイバーセキュリティ責任者に対し、よくある侵入手口に対してネットワークとユーザーを強化するために、以下の対策を講じるよう推奨しています。

  • RDPおよびリモートアクセスの制限
  • Microsoftの脆弱なドライバーのブロックリストの適用
  • ブロックチェーンRPCおよびセッションメッセンジャーの送信通信の監視
  • ビッシングおよび中間者攻撃(AiTM)に対するIDの堅牢化

翻訳元: https://www.infosecurity-magazine.com/news/the-gentlemen-most-prolific/

ソース: infosecurity-magazine.com