出典: Natalia Savilova via Alamy Stock Photo
ユニマイクロン、南アフリカ気象庁(SAWS)、ナショナルプレストインダストリーズ、リーエンタープライズなどの主要組織への攻撃は、2025年第1四半期に重要インフラセクター全体でランサムウェアの急増を示しました。この傾向は、使用される戦術の多様性と高度化の成長によって悪化しました。
これは、今日発表された重要インフラへの攻撃に関するレポートで、セキュリティベンダーのDragosが指摘したもので、ランサムウェアは特に産業および製造セクターで蔓延していると述べています。
「2025年第1四半期に、Dragosは世界中の産業団体に影響を与える708件のランサムウェア事件を特定し、2024年第4四半期に記録された約600件から増加しました」とDragosは述べています。「この増加は、製造、輸送、産業制御システム(ICS)機器、エンジニアリングなどのセクターに影響を与えるランサムウェア作戦の頻度と複雑さの増大を強調しています。」
脅威アクターは、セキュリティ態勢の不一致や、これらの組織が保護する重要なリソースの魅力などの要因により、産業組織を積極的にターゲットにしています。これらのリソースは、ランサムウェアアクターが被害者からの支払いを強要するために使用できます。OT/ICSセキュリティはある程度改善されているように見えますが、全体的には依然として遅れています。
関連:包囲される重要インフラ: OTセキュリティは依然として遅れています
主要製造組織が産業用ランサムウェアに陥る
台湾のプリント制御基板(PCB)大手のユニマイクロンの場合、2月1日に攻撃を公表し、2日前に発生したと報告されました。Dragosによると、攻撃の背後にいる脅威アクターは、二重恐喝とサプライチェーン攻撃を専門とするランサムウェア・アズ・ア・サービスのアクターであるSarcomaでした。同社は当時、「限定的な」影響を受けたと述べましたが、この攻撃は製造団体が直面する継続的な猛攻を反映しています。Dragosは、第1四半期に追跡した攻撃の68%が製造セクターをターゲットにしていると述べました。
1月下旬に発生した南アフリカ気象庁(SAWS)に対する攻撃は、最も影響力のあるものであり、重要インフラ攻撃がもたらす危険を垣間見ることができます。
「SAWSは重要な天気予報サービスに深刻な混乱を経験し、航空、海洋、農業セクターに大きな影響を与えました」と報告書は述べています。「この攻撃により、組織は予報のために代替チャネルに依存せざるを得ず、重要な天気データと警報のタイムリーな配信が大幅に制限されました。」
一方、ウィスコンシン州に拠点を置く家庭用電化製品企業のプレストは、3月1日に8-Kを提出し、Dragosによると「製造、出荷、受領、バックオフィス機能を含む重要な運用領域に混乱を引き起こした」攻撃を公表しました。
そして、リーエンタープライズ、全米で多数の地方新聞を運営する公共メディア企業がありました。同社は2月3日の提出書類で攻撃を最初に確認し、数日後に、Qilinランサムウェアグループが攻撃の背後にいると報告していることを調査していると述べました。Dragosの報告書は、重要な新聞印刷サービスの混乱を強調し、「この事件は印刷版の遅延またはキャンセルを引き起こし、数週間にわたって運用システムに影響を与える長期的な停止をもたらしました」と指摘しています。
ランサムウェアの破壊は多様な形を取る
「重要インフラ攻撃」という用語は、コロニアルパイプラインやウクライナの重要インフラに対するロシアの攻撃を思い起こさせるかもしれませんが、この用語は実際には広範な組織および広範な破壊的攻撃を含んでいます。
例えば、今年の第1四半期には、ランサムウェアアクターは新たな戦術、技術、手順(TTP)を活用しました。Dragosによると、暗号化なしの恐喝攻撃、高度なエンドポイント検出および応答(EDR)回避ツール、FunkSecによって使用されるAI駆動のマルウェア(「AIを利用して断続的な暗号化と高度なコード難読化技術を採用し、従来のセキュリティコントロールを効果的に回避した」)およびゼロデイ脆弱性の継続的な悪用が含まれます。
関連:AWWAが協力的なサイバーセキュリティ法案の導入を支持
もう一つの問題は、組織におけるITと運用技術(OT)の継続的な融合に関するものでした。
「ITとOTの融合が進むことで、運用への影響がさらに増幅され、ITの混乱が運用環境に波及しました。これは、ナショナルプレストインダストリーズが経験した製造遅延によって証明されています」と報告書は述べています。「防御戦略をさらに複雑にするために、Babuk Lockerのようなランサムウェアグループは、ますます欺瞞的な恐喝戦術を採用しています。これらの敵対者は、多くの根拠のない侵害の主張を行い、古いまたは偽造されたデータ漏洩を再利用して心理的圧力をかけました。このような誤解を招く主張は、インシデント対応と検証プロセスを複雑にし、影響を受けた組織に負担をかけました。」
防御者にとって、Dragosの研究者は、組織がタイムリーな検出能力を備えた積極的な防御措置を採用し、「強力な多要素認証(MFA)、重要なネットワークポイントの厳格な監視、安全なオフラインバックアップ、および強化されたリモートアクセス管理プロトコルの実施。包括的なトレーニングプログラム、ネットワークアーキテクチャの定期的なレビュー、AI駆動の検出ソリューションの採用。」を推奨しています。
Dark Readingは、追加のコメントを求めてDragosに連絡しました。
翻訳元: https://www.darkreading.com/ics-ot-security/unimicron-presto-attacks-industrial-ransomware-surge