サプライチェーンの脆弱性を優先するハッカーにより恐喝攻撃が増加

Dive Brief:

• ランサムウェア攻撃者は、2025年に消費者・産業製品ベンダー、コンサルティング企業、製造企業を他のどの組織よりも多く恐喝した、とセキュリティ企業のIntel 471が火曜日に公開したレポートで述べた。
• 米国は圧倒的に最も影響を受けた国であり、全恐喝被害者の半数以上を占めた。
• サイバー脅威アクターは、2025年に開示された520の脆弱性のうち40%以上を悪用した、とIntel 471は述べ、AIが2026年にこれらの脆弱性を悪用するために必要な時間をさらに短縮すると予測した。

Dive Insight:

恐喝関連のサイバー攻撃の数は、2025年に約63%増加して6,800件に達した、とIntel 471のレポートは述べている。これは同社によるダークウェブフォーラムの分析データに基づいている。前年にはQilinランサムウェアギャングの「急速な台頭」が見られた、とIntel 471は述べたが、Sp1d3r Hunters同盟(Scattered Spider、LAPSUS$、ShinyHuntersハッカーで構成)とCl0pギャングが注目度の高い活動で見出しの大半を占めた。

企業は、請負業者の製品の脆弱性を利用したサプライチェーン攻撃に特に警戒すべきである、とレポートは警告した。マネージドサービスプロバイダーを侵害したり、ソフトウェアベンダーを侵害して顧客のシステムにアクセスすることで、サプライチェーン攻撃は「確立された信頼を利用し、攻撃者が堅牢な防御を回避し、大幅に少ない労力で遥かに大きな影響を達成することを可能にする」、とIntel 471の研究者は書いている。

CleoとSalesloftは、2025年に重大なダウンストリーム侵入につながった大規模な侵害を経験し、研究者は前者のキャンペーンをCl0pに帰属させ、後者のキャンペーンへのSp1d3r Huntersの潜在的な関与を指摘した。Qilinは9月にキャンペーンを開始し、あるITサービスプロバイダーへの侵入を通じて少なくとも20の韓国企業を侵害した。

初期アクセスブローカーの技術に関するIntel 471のデータは、企業がシステムを保護し、従業員に警戒を促すべき方法のロードマップを提供している。リモートアクセスポータルがIABの標的技術のリストのトップであり、最も頻繁なエントリ方法は正規の認証情報の悪用だった。

「アクセスブローカーは、侵害の証拠を示すために繰り返し使用されるツールセットに依存する傾向がある」と研究者は述べた。「防御者の観点から、敵対者の行動と彼らが好むツールを理解することは、侵入活動の早期指標として機能する。」

予測面では、Intel 471は、「ワームのような自動化」の普及の増加によりサプライチェーン攻撃が増加すること、より多くの組織が支払いを拒否する姿勢を示すことでランサムウェアの支払いが減少し、脅威アクターが圧力戦術を再考せざるを得なくなること、そしてAIは引き続きサイバー攻撃の「中核的推進力」ではなく「力の乗数」に留まることを予測している。

「利益主導の敵対者がLLMに依存するマルウェアを採用する動機はほとんどない。コスト、複雑性、外部インフラストラクチャへの依存が増加するためであり、特に実証済みのローダーやスティーラーが効果的であり続ける場合はなおさらである」とIntel 471は述べた。「我々は、AIが投資収益率を明確に向上させる分野での標的型エスカレーションを予測している — ディープフェイク主導のなりすまし、高価値個人を標的としたAI生成音声詐欺、影響力作戦における増幅された合成メディアなどである。」