サイバーセキュリティ研究者によると、最も長期間活動しているランサムウェア・アズ・ア・サービス(RaaS)運営の一つであるQilinランサムウェアグループに関連するランサムウェア事件の増加が観測されています。
S-RMの最新インテリジェンスによると、Qilinは引き続き、パッチ未適用のVPN機器、多要素認証(MFA)の未導入、公開された管理インターフェースなどの脆弱性を悪用して、企業ネットワークへの初期アクセスを獲得しています。
月曜日に公開されたアドバイザリで、同社は、2024年の英国医療システムへのSynnovis攻撃のような大規模な侵害が広く注目を集める一方で、Qilinの被害者の多くは建設、医療、金融分野の中小企業であると指摘しました。
サイバー犯罪グループ間の協力関係の拡大
Qilinは数年間活動していますが、これまで広範な注目を避けてきました。
S-RMは現在、Scattered Spiderグループの関係者がQilinのRaaSプラットフォームを利用していることを観測しており、著名なサイバー犯罪組織間でより深い協力関係があることを示唆しています。
S-RMの調査による主な発見として、Qilinは2023年からRaaSグループとして活動し、ツールやインフラをアフィリエイトに貸し出していることが挙げられます。
また、調査では、初期アクセスは通常、パッチ未適用のVPNや単一要素のリモートアクセスツールを通じて得られていることも示されました。
さらにS-RMは、2025年に観測されたQilinの事例の88%がデータ窃取とファイル暗号化の両方を伴い、身代金が支払われない場合は被害者のデータがダークウェブのリークサイトに公開されていると指摘しました。
QilinはTelegramやWikiLeaksV2のような公開サイトを含む新たな恐喝チャネルの実験も始めていました。
ランサムウェア・アズ・ア・サービスのトレンドについてさらに読む:ランサムウェアグループがAIチャットボットを使い被害者への圧力を強化
単なるハッカーではなく、テックビジネス
「Qilinは、ハッカーというよりテックビジネスのように運営される新世代のランサムウェアグループの一つです」とS-RM英国サイバーセキュリティ責任者のTed Cowell氏は述べています。
「彼らのアフィリエイトはツールをレンタルし、利益を分配し、ネットワークへの侵入方法を常に新しく試しています。」
Cowell氏は、Qilinの静かな活動が特に危険であると付け加えました。
「必ずしも大きな見出しにはなりませんが、Scattered Spiderを含む他の脅威グループにもますます利用されています。これにより、責任の特定が難しくなり、防御もさらに複雑になります」と説明しました。
S-RMはまた、多くの侵害が依然として基本的なセキュリティの抜け穴から発生していることを強調しました。
リスクを軽減するために、同社はすべての組織に以下を推奨しています:
-
VPNやリモートアクセス機器を定期的にパッチ適用・更新する
-
すべてのアカウントにMFAを適用する
-
公開された管理インターフェースを制限または削除する
-
ネットワークを分割し、重要なシステムを隔離する
-
横方向の移動や侵入の兆候を積極的に監視する
S-RMの調査結果は、ランサムウェアネットワークのプロフェッショナリズムの高まりと、全業界で強固なサイバー衛生が引き続き必要であることを浮き彫りにしています。
翻訳元: https://www.infosecurity-magazine.com/news/qilin-ransomware-activity-surges/
