見出し画像

【要約】2024年上半期のランサムウェア統計と主なトピック

Darkpedia: サイバー犯罪のダークトレンド

こんにちは、S2W NOTE編集です。

本日は、S2Wの脅威インテリジェンスグループ「Talon(タロン:S2Wのアナリストチーム)」が2024年上半期(2024年1月1日〜2024年6月30日)のランサムウェアグループの活動を分析したレポートのサマリーをお届けします。

※本レポートは、2024年1月1日〜2024年6月30日の上半期に活動したランサムウェアグループの動向を分析したものです。

分析対象は、ランサムウェアリークサイトを持つランサムウェアグループとランサムウェアリークサイトにアップロードされた被害企業と機関です。

以下、分析結果に関するサマリーです。


■2024年上半期ランサムウェア被害状況

・2024年上半期には、2,260社のランサムウェア感染事実がリークサイトに掲載された。
・2024年上半期に活動したランサムウェアグループは合計75グループで、1グループあたり平均約29社を攻撃した。
・2024年上半期、ランサムウェア活動量は昨年同期比で445件増加し、以下の要因によりランサムウェア攻撃が全体的に増加したものと見られる。(グラフ1)
‐大企業をターゲットとするランサムウェア被害は減少したが、小規模企業への被害が2023年上半期比約80%増加

‐2024年上半期に登場した新規グループ「Ransomhub」と「Dark Vault」など合計51のグループが登場して旺盛な活動を展開

グラフ1: 2023年上半期に比べ2024年上半期月別攻撃量
表1:ランサムウェアグループ攻撃量 TOP 10

・2024年上半期の新規ランサムウェアグループは計51グループで、このうち最も多くのグループが登場した月は4月で、全部で16のグループが新たに登場した。(表:2)

表2:2024年上半期新規ランサムウェアグループ(Bold:リークサイトが存在するグループ)

・2024年上半期、ランサムウェアグループが攻撃した企業のうち大企業が4%を占め、昨年下半期9.1%に比べ大企業をターゲットとする割合が減少した。(表3)

表3:2023年と2024年上半期のターゲット企業分類頻度表

■ランサムウェア被害国・産業

・2024年上半期、ランサムウェア被害国トップ10を選別した結果、最も被害を受けた国はアメリカ(表4)
・2023年比2024年上半期の被害が最も増加した国はアメリカであり、被害が最も減少した国はトルコ(表5)

表4:ランサムウェア被害増加国TOP 10グラフ
  表5:ランサムウェア被害減少国TOP 10

・2024年上半期、ランサムウェア被害産業Top10を選別し、2024年上半期に最も大きな被害を受けた産業は製造業(表6)

表6:ランサムウェア被害産業グループTOP 10

✔2024年のランサムウェアグループは、2023年下半期と同様に収益性の高い産業とGDPの高い国を主にターゲットとする傾向が確認された。

・ランサムウェア被害数が大幅に増加した上位10か国のうち2か国が中東地域と確認されたが、これは最近発生した中東における紛争に加え、2022年から着実に成長しているGDPが影響を及ぼしたものと思われる。

グラフ2: 2023年と2024年上半期の収益による企業分類レーダーチャート

グラフ2: 2023年と2024年上半期の収益による企業分類レーダーチャート

■ランサムウェア攻撃内訳

・ランサムウェアグループは法執行機関からの回避とマーケティングのためのリブランディングプロセスを経て、上半期には「HelloKitty」ランサムウェアが「HelloGookie」にリブランドされた状況「Eldorado」と「LostTrust」グループ間のリブランドの可能性が確認された。

図 1. HelloGookieのリークサイト

・求人広告が2023年下半期と比較して約41.7%増加し、それらは特にランサムウェア活動が2023年上半期に比べて低調だった3月と6月に投稿数とコメント数が多く現れた。

→「RAMP」フォーラム内でランサムウェアグループの求人情報が投稿され、「RaaS」と「Freelance」掲示板では、2024年上半期の投稿とコメントの合計数が2023年下半期との比較で約41.7%増加した。
特に、掲示板内の活動が多く確認された2024年3月と6月は、2023年上半期に比べランサムウェア攻撃量が減った時期と一致し、これをもとに2024年3月と6月にランサムウェア攻撃量が減った要因の一つにランサムウェアグループ内のメンバーが減ったものと判断される。

・ランサムウェア関連の言及量はディープ・ダークウェブよりもTelegramで91%高いことがわかった。(グラフ3)

グラフ3: ディープ・ダークウェブ、Telegramランサムウェアキーワードの言及動向

・2024年上半期に発生したランサムウェア関連の課題を「Version Control」、「Revealed Connection」、「Affiliate」、「Attack Technique」、「Activity in Telegram and DDW」、「Duplicated Victims」のカテゴリーに細分化した。

・2024年上半期にランサムウェアが使用された主要キャンペーンを分析した結果、ランサムウェアグループとアフィリエイトはパッチされない環境を対象に1-dayの脆弱性を使用した攻撃を行っており、脆弱なドライバーを使用して権限昇格を試みるするケースもいくつか確認されている。

・S2W脅威インテリジェンスセンターで独自の評価基準をもとにランサムウェアグループの危険度を測定した結果、2024年上半期の危険度が最も高いランサムウェアグループTop 5は、「Black Basta」、「BlackSuit」、「Qilin」、「Ransomhub」、「PLAY」となった。(表7)

「Ransomhub」は、2024年上半期に登場した新規ランサムウェアグループであるにもかかわらず、危険度の高いランサムウェアグループトップ5にランクインしているため、当該グループの今後の活動を継続的にモニタリングする必要がある。

表7:危険度が高いランサムウェアグループトップ5