サイバー犯罪恐喝グループが活動をシフトさせる中、暗号化に依存しないランサムウェアキャンペーンが大幅に増加しています。
SymantecとCarbon Blackによる新しい研究論文によると、データ盗難のみを使用して被害者から身代金を脅し取るサイバー犯罪者の数が増加していると警告しています。
「恐喝のみの攻撃は急速に増加しています…これらの攻撃では、ランサムウェアは展開されず、攻撃者は被害者のネットワークからデータを盗み、盗まれたデータを公開すると脅すことで被害者から身代金を脅し取ろうとします」と報告書は述べています。
Symantecによると、「伝統的な」ランサムウェア攻撃の数は安定したままですが(ランサムウェアリークサイトのデータによると、2025年の総ランサムウェア攻撃数は4737件で、2024年比で1%増加)、暗号化なし攻撃の数は大幅に増加しています。
データリークサイトの分析によると、データ盗難のみに依存する恐喝攻撃がほぼ1500件あり、これはサイバー犯罪グループがこの手法を活用する「大幅な増加」として説明されています。2024年の数値は28件でした。
暗号化なしランサムウェアキャンペーンがサプライチェーンの弱点を悪用
SymantecとCarbon Blackによると、暗号化なしランサムウェアキャンペーンで最も一般的に展開される攻撃ベクトルは、未パッチのゼロデイ脆弱性の悪用とソフトウェアサプライチェーンの弱点の悪用です。
2025年のこの例として、Allianz、Qantas、Googleを含む世界中の企業を標的としたShinyHuntersギャングによる一連の攻撃がありました。
ShinyHuntersのキャンペーンは特にSalesforceインスタンスを標的にし、社会工学とボイスフィッシング攻撃を使用してSalesforceポータルの認証情報にアクセスし、これを利用してネットワーク全体に横展開しました。彼らはこのアクセスを使用してSalesforceユーザーのデータを盗み、影響を受けた企業が身代金を支払わない場合はそれを公開すると脅迫しました。
恐喝のみの攻撃にますます従事しているもう一つのサイバー犯罪ギャングはScattered Spiderですが、このグループは依然として定期的なランサムウェア攻撃を展開しています。昨年のMarks & SpencerとThe Co-opを標的にしたインシデントに見られるように。
研究者らはまた、暗号化なし恐喝キャンペーンの展開に悪用されたゼロデイ脆弱性の一つがCVE-2025-61882であることに注目しています。これはOracle E-Business Suitesの脆弱性で、認証されていない攻撃者がリモートからコードを実行することができます。
暗号化ベースのランサムウェアの展開よりもデータ盗難を優先するこれらのキャンペーンは、組織にとって別のサイバーセキュリティ課題を生み出しています。
「暗号化ランサムウェアを伴う攻撃は相変わらず蔓延しており、依然として脅威をもたらしていますが、新しいタイプの暗号化なし攻撃の出現はさらなるリスクを加えています」とSymantecは研究論文で述べています。
「潜在的な攻撃タイプの拡大は、自分たちのネットワークで堅牢なセキュリティ態勢を維持するだけでなく、ソフトウェアサプライチェーンのセキュリティにより大きな焦点を当てなければならない企業に新しい課題をもたらしています。」
組織は暗号化なし恐喝攻撃の被害を避けるのに役立つ適切なアクションを取ることをお勧めします。
「組織が使用するすべてのソフトウェアを監査し、すべてのセキュリティ更新が適用されていることを確認してください。強力な認証情報の衛生管理も非常に重要です。堅牢な認証情報が必要であり、MFAは定期的に使用されるべきです」
SymantecおよびCarbon Black Threat Hunter Teamの主要インテリジェンスアナリストであるディック・オブライエンはInfosecurityに語りました。
「特に企業アプリケーションにアクセスする可能性があるサードパーティのアドオンおよび拡張機能に関して、ソフトウェアサプライチェーンに注意を払ってください」と彼は追加しました。
翻訳元: https://www.infosecurity-magazine.com/news/hackers-shun-encryption-in-favour/
