Googleは、従来の暗号化身代金攻撃が利益性を失い、データ盗難恐喝が急増する中、ランサムウェアギャングがビジネスモデルを再発明していると警告しています。
サイバーセキュリティ管理の向上、バックアップ戦略の改善、復旧能力の強化により、支払わずにシステムを復旧できる被害者が増え、犯罪者の収入が直接蚕食されています。
公開レポートでも、過去2年間に身代金支払い率と平均要求額の両方が低下しており、オペレータは被害者への圧力を強化することで補うよう迫られています。
同時に、ランサムウェアデータリークサイト(DLS)への投稿数は2025年に過去最高を記録し、2024年比でほぼ50%多い被害者リストが掲載されました。
Googleの脅威インテリジェンスグループとMandiantインシデント対応データによると、複数の指標がランサムウェア全体の収益性の低下を示しており、恐喝操作の量は依然として高いままです。
これらの恥さらしサイトは主に交渉や支払いを拒否する組織を暴露するため、リスティング数の急増は支払い率の低下と、評判を傷つけることをテコにする意図的なシフトの両方を反映している可能性があります。
データ盗難恐喝へのシフト
Googleは、攻撃者がランサムウェアを展開する前に、またはその代わりにデータを盗む侵害が急増していると報告しています。
2025年には、分析されたランサムウェアインシデントの約77%が疑わしい、または確認されたデータ盗難を含みました。2024年の57%から上昇しています。
FUNKSECは最大のDLS投稿ボリュームでしたが、関連するインシデントの多くはデータ盗難恐喝のためのウェブサイト侵害に関わる低影響度のイベントのようです。
一部のランサムウェア・アズ・ア・サービス(RaaS)プログラムは、従来のロッカーと並んで「データ盗難のみ」のオプションを明示的に提供するようになり、純粋な恐喝をより低リスクで信頼性の高い収益化手段と見なすアフィリエイトからの需要を示唆しています。
脅威アクターは、高い影響力と高いテコを持つデータを見つけるために、法務、HR、会計、ビジネス開発、SharePointやMicrosoft 365などのクラウドコラボレーションプラットフォームを体系的にターゲットにしています。
Rclone、MEGASync、WinRAR、7-Zip、FileZilla、WinSCPなどのツールは、Azure、AWS、MEGA、OneDriveなどの攻撃者制御インフラストラクチャとクラウドストレージアカウントにアーカイブをステージングしたり、流出させたりするために日常的に悪用されています。
それでも、2025年における長年のQilinとAkiraブランドの支配は、ランサムウェアアクターの回復力と、テイクダウンおよび競合するRaaS事業者の出口詐欺に続く空白を埋める能力を実証しています。
場合によっては、スクリプトが特定のファイルタイプをMEGAおよびAzure Blob Storageに自動的に圧縮・アップロードして、規模でのデータ盗難恐喝を効率化しています。
大企業のより強固な防御に直面して、多くのランサムウェア集団はセキュリティ成熟度の低い小規模組織に焦点をシフトしています。
データリークサイト被害者の分析は、従業員が200人未満のターゲットの割合が増加していることを示しており、アクター自身がリークされたチャットで、小規模なネットワークはより全体的に収益性が高い可能性があるとコメントしています。
技術的には、オペレータはFortinet、SonicWall、Palo Alto、CitrixなどのベンダーからのエッジインフラストラクチャVPNおよびファイアウォール、ならびにミスコンフィグされたリモートアクセス、認証情報盗難、および初期アクセスのためのブルートフォース攻撃の悪用に大きく依存し続けています。
また、仮想化環境をますますターゲットにしており、2025年のランサムウェア侵害の約43%がESXiまたは他の仮想化プラットフォームを伴い、多くの場合、ルートパスワードを変更し、SSHを有効にし、VMをシャットダウンし、バックアップを削除し、その後BABUKベースのバリアントやRIFTTEARなどのペイロードを展開するための自動スクリプトを使用しています。
AIおよびWeb3への適応
テイクダウンに対する復旧力を維持し、運用効率を向上させるために、一部のグループはWeb3とAIで実験しています。
UNC5833は、Microsoft Teamsチャットセッション経由でヘルプデスクユーザーになりすまして従業員をソーシャルエンジニアリングし、Quick Assistをインストールさせた初期アクセスパートナーからアクセスを獲得しました。
特定のRaaSオファリングは、ブロックチェーンベースのインフラストラクチャまたはスマートコントラクト上で交渉ポータルをホストして、テイクダウンに耐え、Tor依存を避けられると主張しています。
その他のプログラムはAIアシスト機能をアドバタイズして被害者をプロファイリングし、交渉戦略をガイドし、メッセージングを最適化することで、より少ない成功した侵害から最大支払いを搾り出すことを目指しています。
LockBitなどのメジャーブランド、ALPHV、RansomHubを標的にした法執行機関の破壊活動にもかかわらず、QilinやAkiraなどの確立されたRaaSラインが急速に空白を埋め、2025年は過去のどの年よりもより多くの被害者を記録しました。
Googleは、古典的な「暗号化して復旧」ランサムウェアが依然として支配的な運用上の脅威である一方で、大規模なデータ盗難と多層的な恐喝への経済的シフトは2026年に強化される可能性が高いと警告しており、特に堅牢なバックアップとインシデント対応能力を欠く小規模組織を標的にしています。
翻訳元: https://gbhackers.com/google-warns-ransomware/
