NCC Groupの新たな調査によると、2025年第2四半期の世界のランサムウェア攻撃は第1四半期と比べて43%減少し、法執行機関の対応や内部対立が脅威の状況に大きな影響を与えたとされています。
4月から6月までに記録された攻撃件数は合計1180件で、第1四半期の2074件と比較されます。
同社はまた、2025年6月にランサムウェア攻撃の申告件数が4か月連続で減少し、5月から6%減の371件となったことも観測しました。
第2四半期の減速は、年初3か月間にClop、RansomHub、Akiraなどの有力グループによる積極的なキャンペーンによって攻撃が急増した後に起こりました。
しかし、最近の法執行機関の活動により、ClopやRansomHubの関係者を含む主要なランサムウェアオペレーターの一部が妨害されました。特にClopとRansomHubは、第2四半期のアクティブなランサムウェアグループのトップ10リストから姿を消しました。
「これらの妨害は、ランサムウェアグループのエコシステム全体に波及効果をもたらし、関係者が再編成を余儀なくされたり、新興のランサムウェアグループへ移行したりした可能性があります」とNCC Groupの研究者は述べています。
7月23日付のレポートでは、内部リークや異なるランサムウェア関係者間の対立も減速の要因となった可能性があると指摘されています。
5月には、悪名高いLockBitグループから内部情報がリークされました。
一方、研究者たちは、DragonForceがサイバー犯罪市場での支配権を主張しようとする中、ライバルのランサムウェアオペレーターと「縄張り争い」をしている様子を観測しています。
DragonForceは、2025年3月末に発生したRansomHubのインフラ障害の原因であり、運用を制限したとみられています。
攻撃減少のもう一つの要因としては、イースターやラマダンなど世界的な祝日に伴う第2四半期の季節的な減速が挙げられます。
分裂した市場でQilinがリード
Qilinは第2四半期で最も活動的なランサムウェアグループで、申告攻撃件数は151件、全体の13%を占めました。これは第1四半期の95件から増加しています。
2位はAkiraで131件、続いてPlay(115件)、SafePay(108件)となりました。
SafePayは5月に70件の攻撃を主張し、大きな注目を集めました。2024年9月に初めて観測され、研究者によればこのグループについては公に入手可能な情報が比較的少ないとのことです。
専門家は、SafePayがLockBit、BlackCat、INC Ransom、Playなど他の有名な関係者と関連していると指摘しています。
NCC Groupは、2025年にすでに新旧合わせて86のアクティブな攻撃グループを追跡しており、2024年の記録を上回るペースであることを明らかにしました。
「攻撃者の数が増加していることは、企業が備えるべき攻撃手法の幅が広がっていることを意味します」とNCC Groupのグローバル脅威インテリジェンス責任者、Matt Hull氏はコメントしています。
第2四半期で最も多く攻撃を受けた業種は工業分野で、353件、全体の30%を占めました。
2位は消費者向け裁量業種で251件、全体の21%を占めました。この分野には小売業も含まれており、第2四半期に集中的に標的となりました。
情報技術(10%)、ヘルスケア(8%)、金融サービス(6%)が、四半期中に最も標的となった上位5業種を構成しました。
翻訳元: https://www.infosecurity-magazine.com/news/ransomware-attacks-plummet-q2/