ランサムウェアの地下世界での混乱は、新たな攻撃を仕掛ける用意のある被害者数やデジタル恐喝グループの減少にはつながっていない。
実際にはその逆が起きている。過去12カ月のランサムウェア活動に関する独立分析によれば、被害者は増え、暗号化ロック型ソフトウェアを放つサイバー犯罪グループも増えている。
RansomLook.ioが収集した一連の数値では、2025年の「被害を主張された」被害者数が6,034から8,835へと約50%増加し、新規に登場したグループ数も59から63へ増加している。別の一連の数値として、Ransomware.liveが集計したところでは、被害者数が6,129から8,159へと33%増加し、新規グループは64から65へ増加した。サイバーセキュリティ企業Emsisoftは報告書でこれらの数値を集約した。
ランサムウェア追跡のインテリジェンスは、各グループのデータ漏えいサイトに掲載された被害者数のカウントに加え、ダークウェブサイト、サイバー犯罪フォーラム、Telegramチャンネルでのやり取りの監視から得られる。
被害者数と関与グループ数の増加は、著名なグループが消滅したり、活動を無期限に停止したり、作戦が押収されたりしているにもかかわらず起きている。これには、1月のHunters International、法執行機関による摘発後の2月の8Base、3月のFunkSecとBianLian、4月のBabuk-BjorkaとRansomHubが含まれる。7月には警察の作戦によりBlackSuitも同様の道をたどった。
「法執行機関の取り組みは機能している。主要グループを分断し、停止を強い、上層部に不安定さを生み出している。しかし、この混乱は被害者の減少にはつながっていない」とEmsisoftは述べた。
入れ替わりが激しい中でも、著名なグループの一部は依然として健在だ。ランサムウェア・インテリジェンスの各プロジェクトの報告によれば、Qilinは昨年1,000件超の被害者を出し、Akiraはおそらく640〜750件、Cl0pは最大550件に達した。
多くのランサムウェアグループとそのアフィリエイトは、ロシアや旧ソ連圏の他の安全地帯から活動している。過去1年で、こうした攻撃者の多くは、暗号化ロックで標的を混乱させることに以前ほど注力せず、盗んだデータを恐喝目的で悪用することにより重点を置くようになったと専門家は言う。この変化は、法執行機関の監視をかいくぐろうとする試みを反映している可能性がある。というのも、クレムリンでさえ時折サイバー犯罪者の取り締まりに動くことがあるからだ(参照:ロシアはランサムウェアを振るう犯罪者を抑え込んでいるのか?)。
旧ソ連圏中心というランサムウェア・ハッカーの構図に対する大きな例外が、Scattered Lapsus$ Shiny Huntersだ。これは「The Com」として知られる、主に思春期の若者からなる西側のサイバー犯罪コミュニティから出現した。参加者は昨年、数多くの分野で大規模な混乱を引き起こし、英国経済に打撃を与えた。
それでも「彼らは依然として例外だ。完全に注目すべき非常に重要な例外ではあるが、全体を代表しているわけではない」と、ランサムウェア専門家のJen Ellisは述べた。
減少、そして急増
Guidepoint Securityによる木曜日の報告書は、昨年活動していた約125のランサムウェアグループが、データ漏えいサイトに掲載した被害者数が第2四半期から第3四半期にかけて減少したと述べている。しかし、その傾向は続かなかった。「第4四半期の大半でランサムウェア活動が再び活発化し、記録的な年を記録的な数字で締めくくった」とし、被害者の大半は引き続き米国に集中しているという。
Guidepointによれば、2024年と同様に、グループのサイトに掲載された被害者は、最も多い順に製造業、テクノロジー、小売・卸売、医療の4分野に集中していた。「これらの業界は、ランサムウェアがネットワークに与える影響によって金銭的または業務上の損失を被りやすく、また高価値または特に機微なデータ」を保有している可能性が高い。個人情報やその他の医療データも含まれ、被害者に支払いを迫る圧力が増す。
グループ数や攻撃量の追跡には注意点がある。ランサムウェア市場の決定的な全体像は存在しない。一部のグループは被害者と直接やり取りするだけで、圧力をかけるためのデータ漏えいサイトを使わない。サイトを使う多くのグループも、支払わない被害者の一部しか掲載しない。
もしサイバー犯罪グループが、たとえば上場企業のように情報開示に積極的であれば、業界全体の大局はこう見えるだろう。ランサムウェアは依然として非常に儲かる。ブロックチェーン・インテリジェンス企業Chainalysisは、2024年にランサムウェアグループへ流れた暗号資産による身代金支払いが8億1,400万ドルに上ったと追跡した。これは2023年の12億5,000万ドルから減少したものの、依然として大きい。
2025年の通年データはまだ利用できないが、全体として不正な暗号資産フローは急増しており、その多くはロシアなどの国による制裁回避に結び付いている一方で、ランサムウェア作戦を含む「より『伝統的』なサイバー犯罪も依然として非常に活発」であることを示していると、同社は述べた。
数億ドル規模の集団的利益は依然として可能かもしれないが、攻撃者はそれを得るためにより多くの労力を要している。Veeamのランサムウェア対応部門であるCovewareは、調査支援した数千件の事例に基づき、第3四半期において、いかなる理由であれ身代金を支払った被害者の割合が「過去最低の23%に低下」したと報告した。これと並行して、支払われた平均身代金も3分の2減少した(参照:利益減少の中、ランサムウェア・ハッカーは新たな戦術を模索)。
専門家によれば、功績は、標的となり得る組織側のサイバーセキュリティ防御とレジリエンスの向上にある。特に、犯罪者がより高額な身代金を求めて狙いがちな大規模組織、いわゆるビッグゲーム・ハンティングの対象で顕著だという。
他の要因としては、法執行機関による摘発や運営者の燃え尽きがある。サイバー犯罪の専門家は、こうした攻撃に関与する人々の多くが薬物などの問題を抱えていると言う。心理的に見て、個人的な安定が不足している可能性がある。
運営者やグループが、少なくとも一定期間、定期的に姿を消すのは不思議ではない。そうなると、他者がその市場シェアを奪い合う。昨年、専門家は小規模グループの増加を確認しており、これは法執行機関による潜入や妨害のリスクを最小化するために設計された可能性がある。
しかし、容易な成功が減り、参入グループが増える中で、攻撃者は新たな革新の方法を模索しており、その結果「予測不能な攻撃パターンが生まれ、タイなど、従来は標的にされてこなかった分野や地域にも影響が及んでいる」と、サイバーセキュリティ企業ReliaQuestは昨年10月に報告した。専門家はまた、中小規模組織に対するランサムウェア攻撃の増加も報告している。
ReliaQuestの報告書によれば、ランサムウェアグループは、被害者との交渉に人工知能チャットボットを用いること、モバイル管理ツール、そして身代金支払い総額の最大85%を約束してアフィリエイトを誘い込むことなど、より自動化された手法も採用していると述べている。
「この自動化により、必要な技術的専門性と時間的コミットメントが下がり、熟練度の低いアフィリエイトでも複数のキャンペーンを同時に運用できるようになる」と同社は述べた。
翻訳元: https://www.databreachtoday.com/ransomware-by-numbers-count-victims-groups-surge-a-30528
