ダイブブリーフ:
- マルウェアに代わり、身元がランサムウェア攻撃への扉を開く最大の脅威ベクトルとなった、Cloudflareが年次脅威レポートで述べた火曜日に公開した。
- 悪意のあるコードではなく正規の認証情報をますます利用するハッカーの行為により、防御者が攻撃を検出して封じ込めることがより困難になっている。
- Cloudflareの新しいレポートはまた、国家関係の脅威行為者の行動と、人工知能がどのように攻撃を変えているかについても論じた。
ダイブインサイト:
ランサムウェアはマルウェア危機として始まったが、近年、攻撃者はフィッシング攻撃と弱いパスワードの継続的な普及によってより多くの機会を見出している。ランサムウェア攻撃は現在、かつてないほど盗まれたアカウント認証情報に依存する傾向が強く、ハッカーは開始準備ができるまで正規のトラフィックに溶け込むのに役立つ恐喝段階の操作。
「現代の恐喝の状況は、純粋に技術的な暗号化の課題から、高忠実度のアイデンティティとアクセスの危機へと転換した」とCloudflareの研究者はレポートに書いた。「認可された認証情報と内部協力者の兵器化は、高影響力の侵害の主要な経路となり、従来のマルウェアから正規のアクセスの悪用への転換を示唆している。」
Cloudflareはまた、「重要継続性」組織への攻撃の増加も見ていると述べた。「製造業と重要インフラが現在、標的にされたすべての攻撃の50%以上を占めている」。ランサムウェアギャングはこれらの組織を最も利益性の高いターゲットの一つと判断している。これらの組織は、彼らに収益をもたらしている運用の中断を解決することに熱心であることが多いためである。
AI進歩に関するセクションで、Cloudflareは、技術がハッカーに有効性を強調することを彼らのツールセットの洗練さを上回るものとして押し付けていると警告した。同社は、AIが粗いところがあるが、それでも仕事をしてくれるコードを書く場合、その転換が「劇的に増加する」と予想している。例えば、「セマンティックマッピングを自動化することで、バグと機能的なエクスプロイトの間のギャップを埋めるためにLLMを使用する」。
「主な脅威はもはやスキルセットの希少性ではなく、結果の速度である」とCloudflareは述べた。「これらの自動化された、永続的なキャンペーンの単純な量は、コードの技術的な優雅さよりも重要である。」
金融詐欺の領域では、Cloudflareは犯罪者が2025年に約1,235万ドルの盗難を試みたのを観察し、名前のなりすましが「脅威行為者にとって最も有利な戦術」であったことを観察した。2025年に犯罪者が盗もうとした最も一般的な金額は約49,000ドルであり、Cloudflareは「詐欺師が利益を得られるほど十分に大きい金額を狙う一方で、より厳格な経営陣の承認閾値をバイパスする可能性がある十分に小さい金額を狙う計算された戦略の証拠」だと述べた。
同社はビジネスにスレッドハイジャック攻撃に警戒するよう警告した。サイバー犯罪者が正当な会話に割り込み、金銭の送金を要求し、既存のダイアログに構築された信頼関係を悪用するもの。「自動化されたシステムにとって、これらのリクエストは無害で、日常的なビジネス活動に見える」とCloudflareは述べた。
同社は、生成AIが攻撃者が「このスレッドハイジャックを大規模に自動化し、手動監視の必要なしに数千の同時進行する会話にわたってこの正確な約49,000ドルの甘い場所を維持することを可能にすると予測した。
Cloudflareレポートはロシアの「高頻度、広範なターゲティングモデル」から中国のステルス事前配置重要インフラネットワーク上まで、米国の主要なサイバー敵対国間の大きな違いを説明している。イランはサイバー侵入を使用して「運動軍事目標」をサポートすることに焦点を当てている、とレポートは判明しましたが、北朝鮮はアイデンティティの弱さと信頼関係を悪用する「人間中心の操作」に従事しています。
国家関係のハッカーによる正規のオンラインプラットフォームの悪用に関するセクションで、Cloudflareはコマンドアンドコントロール(C2)操作にGoogleカレンダーを使用している中国関連のグループ、テキストペーストサイトをC2アドレスの回転源として使用しているロシア関連のグループ、およびMicrosoft Azureウェブドメイン上にC2ページをホストしているイラン関連のグループについて説明した。
翻訳元: https://www.cybersecuritydive.com/news/ransomware-identity-ai-cloudflare/813319/
