ランサムウェアは依然として深刻な脅威ですが若干の緩和の兆しが見られる一方で、金銭的利益を追求する攻撃者がデータ窃盗による恐喝に専念するようになり、インシデント対応者と脅威ハンターはこれまで以上に多忙になっています。
恐喝目的のデータ窃盗のみを伴う攻撃は、攻撃者がシステムを暗号化する従来のランサムウェア攻撃ほど一般的ではないかもしれませんが、その傾向が強まっているとGoogle Threat Intelligence Groupのサイバー犯罪インテリジェンスヘッドGenevieve StarkはCyberScoopに述べています。
「英語圏のアンダーグラウンドのアクターを見ると、それらはほぼ全てが現在データ窃盗恐喝に専念しているだけです」とStarkは付け加えました。これにはScattered Spider、ShinyHunters、Clopおよび過去数年間で最大かつ最も広範な攻撃の責任を持つ他のグループが含まれます。
Google Threat Intelligence Groupが実施したランサムウェアに関する調査報告書は、公開前にCyberScoopと独占的に共有・議論されたもので、サイバー犯罪の進化と拡散が、ランサムウェア、あるいはマルウェアを使用してシステムを暗号化またはロックする攻撃についての集合的理解をいかに曇らせるかを強調しています。
ランサムウェア攻撃はまた、恐喝の追加的な圧力ポイントとしてデータ窃盗を含むことが多く、Googleが昨年観察したランサムウェア侵害の77%で発生しており、2024年の57%から増加しています。しかし、暗号化が関与していない限り、技術的にはランサムウェアではありません。
「Mandiantが調査した侵害では、従来のランサムウェア配備の減少とデータ窃盗恐喝の増加の一致が観察されました」と報告書の研究者は述べています。「さらに、一部のランサムウェア・アズ・ア・サービス プログラムは、ランサムウェアに加えてデータ窃盗恐喝のみのオプションを提供しており、これは顧客ベースからの需要を反映しているかもしれません。」
同社は2025年に対応したランサムウェア攻撃の数を明かすことを拒否しました。「1つのインシデント対2つのインシデントとして何が構成されるかについて業界全体が同意するのが非常に困難であるため、我々が取り組むケースの数を定量的に共有することに躊躇しています」とMandiantの実践リーダーであるChris Linklaterは述べています。「逸話的には、我々は非常に忙しい状態が続いています。」
Starkは、ランサムウェアの真の規模と影響の明確で包括的な画像を開発することを妨げる大きな課題があることを認めました。見解は主に個々のインシデント対応企業が自社のケースで見ているものに限定されており、共有される情報は通常、一元化された方法ではなくケースバイケースで提供されます。
「業界として量に関して素晴らしい仕事をしていません。データ流出サイトの量のようなものに過度に依存していると思います。それは多くの問題を抱えています」と彼女は述べました。
データ恐喝の増加はこれらの投稿の増加を推進している可能性があります。同時に、一部の脅威クラスターは信頼できない主張をしているか、以前の違反をリサイクルして自分たちの仕事として主張しています。「データ流出サイトは実際にはかなり貧弱な指標であり、業界として我々はそれに過度に依存していると思います」とStarkは述べています。
しかし、データはターゲティングのシフトや特定のセクターまたは地域への主張される攻撃の増加など、特定のトレンドを測定するのに依然として有用です、と研究者は述べています。
いずれにせよ、Googleはデータリーク サイトの投稿数が前年から48%増加して2025年に7,784投稿に跳ね上がったと述べています。一方、同じ期間にユニークなデータリーク サイトの数はほぼ35%増加して少なくとも1つの投稿を持つ128サイトに達しました。
Googleの報告書はまた、昨年のランサムウェア攻撃への対応中に観察した戦術とシフト、攻撃者がシステムに侵入した最も一般的な方法、最も顕著なランサムウェアファミリー、および仮想化インフラストラクチャの標的化の増加に焦点を当てています。
利用された脆弱性は昨年のランサムウェア攻撃における最も重要な初期アクセスベクトルであり、全インシデントの3分の1を占め、その後、各種形態のWeb侵害と盗まれた認証情報が続きます。攻撃者は最も一般的にFortinet、SonicWall、Palo Alto Networks、およびCitrixの広く使用されている仮想プライベートネットワークとファイアウォールの脆弱性を悪用したと、研究者は述べています。
GTIGの主要脅威インテリジェンス分析者であるZach Riddleは、これは成長するトレンドというより、異なる初期アクセスベクトルの繰り返しサイクルを反映しており、様々な理由で年ごとに上昇・下降すると述べています。
Googleは特に13の脆弱性を指摘し、多くは数年前に開示されたもので、昨年のランサムウェア攻撃で利用された最も重要な脆弱性の中でそれらの欠陥をランク付けしました。これらの脆弱性のうち3つはFortinet製品に影響を与え、その後Microsoftからの2つ、Veritasからの2つ、およびSonicWall、Citrix、SAP、Palo Alto Networks、CrushFTP、およびZohoのそれぞれ1つが続きます。
盗まれた認証情報は昨年のランサムウェア侵害の初期アクセスポイントの21%であり、攻撃者はしばしばこれらの認証情報を使用して被害者のVPNまたはリモート デスクトップ プロトコルログインに認証したとGoogleは報告書で述べています。
攻撃者はまた被害者ネットワークへの侵入後のランサムウェア配備でより多くの課題に直面しています。「実際にはランサムウェア配備の成功の減少を見ています」とGTIGの上級脅威インテリジェンス分析者であるBavi Sadayappanは述べています。Googleは2024年の54%から昨年の36%へと年ごとの低下を観察しました。
2025年のランサムウェア活動に反映された別の画期的な変化は、VMware ESXiハイパーバイザーなどの仮想化インフラストラクチャの標的化の増加を含みます。攻撃者は昨年のランサムウェア侵害の43%でこれらの環境を標的にしており、2024年の29%から増加しています。
「攻撃者は非常に少ない努力で膨大な数のシステムに達することができます」とLinklaterは述べており、「これらのハイパーバイザーが攻撃されると、フォレンジック証拠の多くが失われるため、調査を実行するのは著しく難しくなります。」と付け加えました。
Googleによると、2025年で最も顕著なランサムウェアファミリーはAgenda、Redbike、Clop、Playcrypt、Safepay Inc、RansomHub、およびFireflameを含みます。昨年最も活動的なランサムウェアブランドはQilin、Akira、Clop、Play、Safepay Inc、Lynx、RansomHub、DragonForce、およびSinobiを含みました。
翻訳元: https://cyberscoop.com/google-threat-intelligence-group-ransomware-report-2026/
