1. HOME
  2. ブログ
  3. 防止できたランサムウェア攻撃の44%はラテラルムーブメント中に検知

防止できたランサムウェア攻撃の44%はラテラルムーブメント中に検知

2023/2024年版のバラクーダによるランサムウェアレビューによって、依然として医療機関が最も多く攻撃対象となっていることが明らかに

本リリースの要点

・バラクーダの脅威検知データによると、展開中のランサムウェア攻撃の約半数弱(44%)がラテラルムーブメント*中に検知されたことが判明
・公に報告されている世界で発生した200件のランサムウェア攻撃のサンプル調査によると、直近12カ月間のランサムウェア攻撃被害の5分の1以上(21%)が医療機関で発生
・8Baseや PLAYランサムウェアの事例の分析により、攻撃者が保護されていないデバイスを攻撃対象とし、悪意あるファイルをビデオや音楽フォルダに隠す試みが判明

*ラテラルムーブメントは、サイバー攻撃においてネットワークへ侵入した攻撃者が、ネットワーク内を水平(横)方向に移動しながら、侵害範囲を段階的に拡大していく手口のこと。

クラウドファーストなセキュリティソリューションのリーディング企業であるバラクーダネットワークスは、ラテラルムーブメントはランサムウェア攻撃が展開中であることの最も明確な兆候であり、インシデントの約半数弱(44%)がラテラルムーブメント中に検知されていることが判明したという調査結果を発表した。インシデントの4分の1(25%)は、攻撃者がファイルの書き込みまたは編集を開始したときに検知され、14%は既知のアクティビティパターンと一致しない行動によって脅威が暴かれた。本調査結果は、直近の12カ月間でのランサムウェア攻撃の主要なパターンを調査した、年次調査「バラクーダの注目する脅威」(英語)で紹介されている。

2023/2024年のランサムウェア脅威の状況

バラクーダの脅威研究者たちは、2023年8月から2024年7月にかけて報告された200件のインシデントのサンプルを分析した。

このサンプル分析によると、インシデントの21%で医療機関が標的となっており、1年前の18%から増加していることが分かっている。また、報告された攻撃の15%が製造業、13%がテクノロジ-企業を標的としたものであった。教育機関を狙ったインシデントは昨年の18%から半減し、2023/2024年には9%となっている。

レンタル型ランサムウェア

最も蔓延しているランサムウェアグループたちは、ランサムウェア・アズ・ア・サービス(RaaS)モデルを運営するグループたちであった。これらのグループにはLockBitが含まれ、過去12カ月間で攻撃者の身元が判明している攻撃の6件に1件(18%)がLockBitによるものであった。

ALPHV/BlackCatランサムウェアは攻撃の14%を占め、比較的新しいランサムウェアグループであるRhysidaは原因が特定された攻撃の8%を占めた。

バラクーダネットワークスのVP/グローバルセキュリティオペレーションズ担当のアダム・カーン( Adam Khan)は次のように述べている。
「レンタル型ランサムウェアの攻撃は、検知や封じ込めが困難である場合があります。同一のペイロードを展開する場合でもランサムウェア攻撃の依頼者によって異なるツールや戦術を使用することがあり、その結果、多くのバリエーションが存在することになります。幸いなことに、スキャン、ラテラルムーブメント、マルウェアダウンロードなどほとんどの攻撃者が依存している検証済みのアプローチがあります。これらのアプローチが取られた場合、セキュリティアラートをトリガーすることができ、ランサムウェアが完全に展開される前に、セキュリティチームが攻撃を検知、封じ込め、および緩和する機会を数回提供することができます。これは、すべての機器が完全に保護されているわけではないIT環境では特に重要となります」。

2024年に検知された数が最も多かった攻撃ツールと動作

Barracuda Managed XDRのエンドポイントセキュリティの検知データによると、2024年の最初の6カ月間における、ランサムウェアのアクティビティである可能性が高いことを示す兆候で最も多かったものは次のとおり。

・ラテラルムーブメント:ランサムウェア攻撃の約半数弱(44%)は、ラテラルムーブメントを監視する検知システムによって検知された。
・ファイルの変更:4分の1(25%)は、ファイルが書き込まれたり、変更されたりしたときに、それが既知のランサムウェアのシグネチャや疑わしいパターンに一致するかどうかを分析するシステムによって検知された。
・パターン外の動作:14%は、システムまたはネットワーク内の異常な動作を識別する検知システムによって検知された。このシステムは、ユーザー、プロセス、およびアプリケーションの典型的な動作を学習する。逸脱(異常なファイル・アクセス、オペレーティング・システム・コンポーネントの改ざん、不審なネットワーク・アクティビティなど)を検知すると、アラートがトリガーされる。

あるヘルステック企業を標的としながら影響を緩和できたPLAYランサムウェア攻撃と、あるカーケア製品メーカーを襲った8baseランサムウェア攻撃を詳細に調査した結果、攻撃者は次の段階の攻撃を開始するために、保護されていないデバイスに足がかりを作り、ほとんど使用されていない音楽やビデオのフォルダに悪意のあるファイルを忍び込ませることを試みていることが判明した。

きめ細やかな防御

ランサムウェアなどの変化し続ける脅威との戦いでは、複数の検出レイヤーが不可欠。なぜなら、攻撃者はITチームが通常使用する市販のツールを悪用することが多く、成功するまで動作と戦術をリアルタイムに調整できるからである。

バラクーダは、高度な攻撃を検出して修復し、影響を封じ込めおよび最小化するための鍵となる、AIを実装した多層防御を推奨している。多層防御だけではなく、堅牢な認証およびアクセスポリシー、パッチ適用、および従業員向けの定期的なセキュリティ意識向上トレーニングも必要となる。

本調査の詳細はこちらから確認が可能である(英語):
https://blog.barracuda.com/2024/08/21/threat-spotlight-ransomware-rent-threat-landscape

出典:PRTimes バラクーダネットワークスの新たな調査により、防止できたランサムウェア攻撃の44%はラテラルムーブメント中に検知されたことが判明

関連記事

サイバーセキュリティの課題をテーマ別に紹介中!!