止まらない拡大：最新のランサムウェアリークサイトの急増と分断された脅威の状況を分析する

ランサムウェアのエコシステムは活動が大幅に急増しており、脅威の状況が著しく断片化していることを反映しています。最近、複数の米国の重要セクターの組織に影響を与える新しいリークサイトのリストが出現し、この進化する、ますます複雑化する脅威をはっきりと示しています。

何が起こったのか

最近、あるランサムウェアグループが新しい被害者リストを公開し、医療、教育、保険、エネルギー、テクノロジーセクターの組織に大きな影響を与えました。注目すべきターゲットには、さまざまな業界にわたるいくつかの著名な企業が含まれていました。これらの開示は、交渉が失敗した後に発生することが多く、データは公開されるか、公開を脅かされます。

脅威アクターは、広範で機密性の高いデータセットを所有していると主張しています。例としては、大手企業からの重要な記録とされるもの、医療提供者からの大量の侵害データ、国家協会からの大量の保険セクターデータなどが挙げられます。これらの数字は、潜在的なデータ窃取の規模と、被害組織にとっての深刻な影響を浮き彫りにしています。特に教育と医療は、管理する個人情報、財務情報、運用情報の膨大な量のために、依然として主要なターゲットです。

このパターンが繰り返される理由

ランサムウェア・アズ・ア・サービス（RaaS）運用の根本的な経済学と運用上の回復力が、この永続的なパターンを推進しています。グループの増殖と世界中の被害者の多さは、これらの犯罪企業の収益性と参入障壁の比較的低さを示しています。エコシステムは断片化し、少数の主要なプレーヤーから、より小さく、より機敏で、帰属がより困難な多数の運用へと移行しています。

この断片化により、法執行機関の取り組みに対する迅速な適応と回復力が可能になります。あるグループが混乱すると、新しいグループが出現し、多くの場合、共有インフラストラクチャを利用したり、廃止された運用からアフィリエイトを募集したりします。開発者が身代金の一部と引き換えにアフィリエイトにツールとインフラストラクチャを提供するRaaSモデルは、高度な攻撃機能へのアクセスをさらに民主化します。

ランサムウェアリークサイトの増殖は、断片化され回復力のあるRaaSエコシステムの直接的な結果であり、利益の追求が常に反応的な防御を上回っています。

攻撃者のプレイブックを段階的に

ランサムウェアの運用は、通常、初期アクセスブローカーから始まる多段階の攻撃手法に従います。これらのアクターは、既知の脆弱性の悪用、フィッシング、資格情報の詰め込みなど、さまざまな方法で侵入します。たとえば、セキュリティ研究では、さまざまなグループに関連する多数の一般的な脆弱性が特定されており、一般的な弱点の悪用に依存していることが示されています。

初期アクセスが確立されると、攻撃者は被害者のネットワーク内で偵察と横移動を行います。このフェーズでは、ネットワークトポロジのマッピング、特権のエスカレーション、データ窃取と暗号化のための高価値ターゲットの特定が含まれます。脅威アクターは、さまざまなオペレーティングシステムと環境をターゲットにするために多様な暗号化ツールを使用することが知られており、攻撃ツールの多様性を示しています。

データ窃取は、恐喝のレバレッジを最大化するために、多くの場合、暗号化に先行する重要なステップです。脅威アクターは、システムを操作不能にするためにランサムウェアを展開し、身代金要求を残します。最近のリークサイトの活動が示すように、交渉が失敗した場合、盗まれたデータは公開リークサイトに公開され、さらなるプレッシャーと評判の損害が加わります。

防御側が見逃したこと

新しいリークサイトと被害者の開示が繰り返し出現することは、防御戦略における重大なギャップを示しています。多くの組織は、主要なインシデントが発生した後、侵害の指標（IOC）と文書化されたTTPに焦点を当てた後方脅威インテリジェンスで運用を続けています。この反応的な姿勢は、新たなグループや進化する攻撃技術に対して脆弱なままです。

さらに、プロアクティブな攻撃的セキュリティテストの欠如は、攻撃者が悪用するまで悪用可能な脆弱性が発見されないままになることが多いことを意味します。これには、自律的な攻撃的テストによって特定できる、外部に面したシステムの弱点、誤構成、特権昇格のパスが含まれます。一部の被害者から攻撃者が主張するデータの膨大な量は、堅牢なデータセグメンテーション、アクセス制御、およびデータ窃取検出メカニズムが不十分であった可能性を示唆しています。

内部システムに焦点を当てることは、サードパーティベンダーがもたらす重大なリスクをしばしば見過ごします。ランサムウェアはベンダーのエコシステムを横断し、侵害されたサプライヤーを介して組織に影響を与える可能性があります。ベンダーの脆弱性を明確に理解していなければ、組織は連鎖的なリスクにさらされ続けます。

実用的な防御チェックリスト

エスカレートするランサムウェアの脅威に対抗するために、CISOとセキュリティエンジニアは、プロアクティブで包括的な防御体制を採用する必要があります。

• 脆弱性管理を優先する: 特にランサムウェアグループによって頻繁に悪用される重要な脆弱性を継続的に特定し、パッチを適用します。
• 堅牢なアクセス制御を実装する: 最小特権の原則、すべての重要なシステムにわたる多要素認証（MFA）、および管理アクセス権の定期的なレビューを強制します。
• ネットワークセグメンテーションを強化する: 侵害が発生した場合の横移動を制限するために、重要な資産と機密データを分離します。
• エンドポイント検出および応答（EDR）を強化する: 偵察やデータ窃取の試みを含む疑わしい活動を検出して対応するために、EDRソリューションを展開および微調整します。
• インシデント対応計画を策定およびテストする: ランサムウェア攻撃を含むインシデント対応シナリオを定期的に訓練し、迅速かつ効果的な封じ込めと回復を確実にします。
• プロアクティブな攻撃的テストを実施する: 攻撃者が悪用する前に、悪用可能な脆弱性や誤構成を継続的に特定するために、自律的な攻撃的テストを実装します。
• サードパーティのリスクを評価する: サプライチェーンの脆弱性を理解し、軽減するために、ランサムウェアの脆弱性インテリジェンスをサードパーティのリスク管理プログラムに統合します。

現代の攻撃的テストがこれをどのように捉えたか

従来の脆弱性スキャンとペネトレーションテストは、多くの場合、時点評価を提供しますが、これは動的な脅威の状況ではすぐに古くなります。特に自律的な攻撃的テストなどの現代の攻撃的テストは、継続的で適応的なアプローチを提供します。当社のプラットフォームは、自律的な攻撃的テスト機能と実行可能な概念実証（PoC）により、大きな利点を提供します。

このアプローチは、現実世界の攻撃者の技術を継続的にシミュレートし、重要な資産やデータ窃取につながる悪用可能な経路を特定します。実行可能なPoCを生成することで、セキュリティチームは脆弱性の具体的な証拠と、攻撃者が取る正確な手順を得ることができます。これにより、ランサムウェア攻撃の初期段階を直接反映する、初期アクセス、横移動、またはデータ窃取につながる可能性のある欠陥を事前に修正することができます。

たとえば、脅威アクターが既知の脆弱性（セキュリティ研究者によって特定されたものなど）を悪用した場合、自律的な攻撃的テストは脆弱性を特定し、PoCでその悪用可能性を実証し、ランサムウェア攻撃で悪用される前に修正を可能にしたでしょう。これにより、防御は反応的なインシデント対応からプロアクティブな脅威軽減へとシフトします。

次に注目すべきこと

ランサムウェアの状況は急速な進化を続けるでしょう。より小さく、より速い運用への断片化は続き、帰属と混乱をより困難にするでしょう。攻撃者がより大きな組織への抵抗が最も少ない経路を求めるため、サプライチェーンとサードパーティベンダーの継続的な悪用を期待してください。

ランサムウェアのエコシステムにおける、特定の地理的地域が地元の法執行機関の介入を避けるためにほとんど立ち入り禁止となっているという不文律は、依然として重要なダイナミクスです。過去に、ある著名なグループのアフィリエイトが、機密地域に本社を持つ企業を誤って標的としたことを謝罪し、アフィリエイトを追放した事件は、この地政学的な制約を裏付けています。このダイナミクスに変化があれば、世界の脅威の状況が大きく変わる可能性があります。

さらに、大量のデータ窃取の主張が増加していることは、単なる暗号化を超えたデータ収益化への焦点が高まっていることを示唆しています。組織は、データ漏洩、サービス拒否、顧客との直接的なコミュニケーションが利用される、より高度な二重および三重の恐喝スキームに備える必要があります。このエスカレートする環境で生き残るためには、継続的な脅威インテリジェンスとプロアクティブなセキュリティ対策が不可欠となるでしょう。