TokyoBlackHatNews

securityweek.com 4分で読了

ランサムウェア集団、データ窃取戦術が失速する中で暗号化へ回帰する可能性

単なるデータ流出(持ち出し)だけでは、もはやランサムウェア集団にとって収益性の高い手法ではなくなっており、脅威アクターは主導権を取り戻すために暗号化へますます依存するようになる可能性があると、Covewareは新たなレポートで指摘している。

Cl0pのような既知のグループが、暗号化を行わずに被害者のデータを盗む「データ流出のみ」の攻撃を相次いで大きな成功を収めたことを受け、他のランサムウェア集団もこの潮流を取り入れた。

MOVEitCleo、およびOracle E-Business Suite (EBS)の顧客を標的としたキャンペーンは、この手法がもはや投資対効果を生まないことの証拠だとCovewareは述べている。

同社の説明によれば、Cl0pはシンプルな戦略でこのトレンドを始めた。すなわち、人気のある企業向けファイル転送またはデータ保管製品におけるゼロデイ脆弱性のエクスプロイトを入手し、可能な限り多くのインスタンスを侵害してデータを流出させ、侵害した各組織に身代金の支払いを迫ったというものだ。

2021年、このグループはAccellionキャンペーンでこの手口を用い、数千万ドルを稼いだ可能性が高い。影響を受けた組織の25%以上が身代金を支払った可能性があるという。GoAnywhere MFTのハッキングで影響を受けた組織のうち、およそ20%も身代金を支払った。

しかしその後のキャンペーンでは、被害者の支払い意欲が大幅に低下した。Covewareによれば、MOVEit侵害の影響を受けた組織のうち支払ったのは2.5%未満で、CleoおよびOracle EBSの事案ではほぼ誰も支払わなかったという。同社は最新のランサムウェア動向レポートでこう述べている。

同社によると、この傾向は企業侵害への対応成熟度の高まりによって促進された。支払っても法的な影響を抑えられるわけではなく、攻撃者が盗んだデータを保持し続けたり、漏えいさせたり、再利用したりしない保証もない。

「企業は、すでに侵害されたデータの公開を抑えるために身代金を支払うことの利点と欠点について学びつつある。ホワイトボードの『利点』側の箇条書きはますます乏しくなり、『欠点』側は混み合ってきている」とCovewareは指摘する。

同社によれば、恐喝グループShiny Huntersもこの手法を採用したが、財務面の結果は期待外れだった。SnowflakeおよびSalesforceへの攻撃のいずれでも、被害者が身代金を支払うことはまれだった。

身代金支払い率が過去最低水準にある中、Covewareはランサムウェア集団がデータ暗号化に回帰すると見ている。「暗号化は、支払いの可能性を高めるうえで、データ恐喝よりも常に効果的なてこ(レバー)だった」という。

さらに、脅威アクターは直接的な恐喝以外にも、侵害したネットワークへのアクセスを収益化する追加手段を模索する可能性があり、コストとリスクの双方を最小化するために活動規模を縮小すると予想される。

平均支払い額が増加

支払い意欲が低いにもかかわらず、昨年第4四半期の平均身代金支払い額は60万ドル近く(第3四半期から57%増)となり、中央値も32万5,000ドル(第3四半期から132%増)へと押し上げられた。

「平均支払い額の顕著な急増は、孤立した高影響の事案を反映しており、通常は、事業中断を他の方法で緩和できない状況で、復号を目的とした和解に結びついたものだ。これらの事象は、支払い意欲が広範に復活していることを示すものではない」とCovewareは述べる。

Covewareは、攻撃の主な標的が中小企業であり、耐えられる支払い額に限界があるため、身代金支払いの中央値は平均より低いままだと指摘している。

全体として、2025年最後の3か月間の身代金支払い率はおよそ20%に達したが、データ流出のみによって成立していた高額和解は減少し、支払い規模はインシデントの影響度に左右された。

Covewareによれば、組織は暗号化主導のランサムウェア攻撃に対して回復力を高めており、支払わずに業務を復旧できるようになっている一方で、脅威アクターの活動は依然として高水準にある。

昨年第4四半期には、Akiraが最も活発なランサムウェア集団で、観測された活動のおよそ14%を占めた。次いでQilinが13%、Lone Wolfが12%だった。

Covewareのランサムウェア動向レポートによると、2025年第4四半期に最も多くランサムウェア攻撃の標的となったのはプロフェッショナルサービス部門で18.92%、次いで医療が15.32%、テクノロジー(ハードウェアおよび機器)が9.91%、ソフトウェアサービスが7.21%、消費者向けサービスが9.01%だった。

「回避された身代金支払いの一つひとつが、サイバー恐喝エコシステムから酸素を奪う。予防の改善、被害範囲(ブラスト半径)の縮小、そして規律ある対応判断の累積効果により、攻撃者の経済性は侵食され続けており、とりわけ量産型のRaaS運用において顕著だ」とCovewareは指摘している。

翻訳元: https://www.securityweek.com/ransomware-groups-may-pivot-back-to-encryption-as-data-theft-tactics-falter/

ソース: securityweek.com
#Cl0p #MOVEit #RaaS(Ransomware as a Service) #サイバー恐喝 #ゼロデイ脆弱性 #データ窃取 #ランサムウェア #二重恐喝 #暗号化攻撃 #身代金支払い率

関連記事

トランプ大統領、最先端AIモデルの国家安全保障リスク審査を求める大統領令に署名

サイバーセキュリティの深刻化する危機に関する2つの新レポート、異なる見解を提示

スクープ:たった1行のコードが、Microsoft Androidアプリ数十億ダウンロードをリスクにさらした経緯