これらのグループは、その関係性や一部の戦術で注目されており、ランサムウェアの運用に変化の兆しを示しています。出典:Flashpoint
ランサムウェア・アズ・ア・サービス(RaaS)の状況は、新たな手法や新興勢力の登場により変化しているかもしれませんが、脅威アクターは既知の脆弱性が修正されていないシステムを悪用して初期アクセスを獲得しています。
Flashpointによると、2025年のランサムウェア活動の中間総括では、2024年の同時期(1月1日から6月30日)と比較して攻撃が179%増加したことが明らかになりました。研究者たちは、この大幅な増加とランサムウェアの持続性の要因として、RaaSモデル(運営者とアフィリエイトで構成される)を挙げています。このモデルにより、スキルの低い脅威アクターでも攻撃を仕掛けられるようになり、コストもそれほど高くありませんでした。
#1 Akira
2025年前半、製造業やテクノロジー業界は依然として人気の標的でした。最も標的となった国トップ10の中で、米国が圧倒的な1位でした。しかし、最も騒動を引き起こしたグループはどこでしょうか?Flashpointによると、最も多く活動したRaaSグループのトップ5は以下の通りです:
-
Clop:脅威アクターは、CleoやProgress Softwareなどのマネージドファイル転送製品のゼロデイを悪用し、広範な被害を引き起こしています。
-
Qilin:英国の国民保健サービス(NHS)のパートナーであるSynnovisに対する重大な攻撃によりサービスが混乱しました。
-
RansomHub:上位3グループよりも最近登場しましたが、すでに米国政府機関を標的にしています。しかし、グループは解散した可能性もあります。あるいは、RaaSが非活動状態であることは、運営者がリブランドを行っているか、他のグループに合流していることを意味する場合もあります。
「ランサムウェアのリブランドはよく知られた現象であり、閉鎖されたグループが別名で再始動することがよくあります。また、ランサムウェアグループは漏洩したランサムウェアのソースコードを運用に利用することもあります」とFlashpointは述べています。例えば、Safepayは現在は消滅したLockBitやContiランサムウェアギャングとコードを共有しています。
AIが参入
組織は進化する戦術にも注意を払うべきです。以前は、ランサムウェアグループは被害者のシステムを暗号化し、身代金を支払うよう圧力をかけていました。現在では、「複数のグループが純粋な恐喝に重点を置くようになっている」とFlashpointは述べています。RansomHubグループは暗号化をやめ、新興グループのWeyhroも同様です。
RaaSギャングもAIをツールとして追加していますが、驚くほど多くはありません。「Funksecは、ツールにLLM(大規模言語モデル)を活用している数少ないグループの一つです」とFlashpointは述べ、同グループがAI生成のフィッシングテンプレートや「WormGPT」と呼ばれるものを利用していると付け加えています。
しかし、Flashpointは今後さらに多くのグループがLLMを活用し始める可能性があると警告しています。
RaaSグループにおいてAIの利用がそれほど目立たないのは、既知だが未修正の脆弱性を悪用して初期アクセスを得るという従来の手法が依然として有効であるためです。特に、リモート監視・管理ツールで顕著です。初期アクセスを得た後、脅威アクターは被害者ネットワーク内に既に存在する正規ツールを活用する「Living off the Land」手法を使い、権限昇格や悪意ある活動の隠蔽を行っていることが観察されています。トップ5のRaaSグループが用いる手法は、効果的なパッチ管理プロトコルの導入がいかに重要かを改めて浮き彫りにしています。