2023 The First Half Activities Summary of Ransomware Threat Actors (JPN)

Feb. 13, 2024, 1:15 a.m. | MalBot

Malware Analysis, News and Indicators - Latest topics malware.news

Executive Summary

NSHCの脅威解析研究所（Threat Research Lab）は、2023年の上半期にランサムウェア（Ransomware）を使ったハッキンググループのハッキング活動情報を分析した。ランサムウェアを使ったハッキング活動は、最近まで継続的に発生している攻撃タイプであり、金銭を目的としたランサムウェアの配布による影響は非常に大きいと確認されている。つまり、最近のランサムウェアを利用したハッキンググループの攻撃方法や攻撃ツールに関する情報に基づき、予防や対応体制を準備する必要がある。このレポートでは、ランサムウェアを利用したハッキンググループが利用した攻撃方法や攻撃ツール、インフラに関した情報を述べている。

ンサムウェアを利用したハッキンググループの活動

2023年1月1日から6月30日まで、NSHCの脅威分析研究所（Threat Research Lab）で収集及び分析したデータと情報に基づいて分析されたランサムウェアに関係あるハッキング活動は、2023年の上半期に141件のランサムウェア関係のハッキングイベントが確認された。

[図 1：2023年の上半期のランサムウェアイベント月別の状況]

ランサムウェアを利用したハッキンググループは、金銭的な利益を確保するためのサイバー犯罪（Cyber Crime）グループと特殊な目的でハッキング活動を行う各国の政府の支援によって活動を行うハッキンググループとして分類できる。2023年の上半期には、サイバー犯罪（Cyber Crime）グループのランサムウェアを利用したハッキング活動が97％で確認された。つまり、2023年の上半期に確認されたランサムウェアの目的は、主に金銭的利益を確保することであると確認された。

[図 2：2023年の上半期のランサムウェアを利用したハッキンググループ別の統計]

ランサムウェアを利用したハッキンググループのハッキング活動が確認された地域を分類すると、[図 3]のように、ヨーロッパ大陸及び北アメリカに位置する組織をターゲットに、最も多くのハッキング活動が行われたと確認された。

[図 3：2023年の上半期、ターゲットとなった地域別の統計]

2023年の上半期の間、ランサムウェアを使用したハッキンググループのターゲットとなった国家はアメリカで、23.37%の割合を示していることが確認され、続いてはドイツとフランスの順番であった。

[図 4：2023年の上半期、ターゲットとなった国家の統計]

2023年の上半期には、ランサムウェアを使用したハッキンググループは製造業、金融業、商業施設業界で努めている関係者またはシステムをターゲットにして最も多くのハッキング活動を行ったと確認された。この業界は、ランサムウェア攻撃が発生した場合、生産活動に大きな損失が発生する可能性があるため、サイバー犯罪の目的で活動するハッキンググループがランサムウェアを使用したハッキング活動に主なターゲットとして分析されている。

[図 5 : 2023年の上半期、ターゲットとなった業界の合計]

ランサムウェアを利用したハッキンググループの攻撃技術

1. 脆弱性を活用

ランサムウェアを使用したハッキンググループは、ハッキングのターゲットになった組織の閉域網へ侵入するための手段の一つとして、ターゲットの組織に存在する脆弱なバージョンのソフトウェアの使用の有無を確認し、そのソフトウェアの脆弱性を悪用した攻撃を実行した。2023年の上半期に最も多く悪用されたと確認されたランサムウェアを使用したハッキンググループによるソフトウェア脆弱性は、[表 1]である。

脆弱性
脆弱性のタイプ
脆弱性のターゲット

CVE-2021-21974

リモートコード実行の脆弱性

(Remote Code Execution Vulnerability)

VMware ESXi OpenSLP Services

CVE-2022-41082

リモートコード実行の脆弱性

(Remote Code Execution Vulnerability

Microsoft Exchange Server

CVE-2023-27350

不適切なアクセスコントロールの脆弱性

(Improper Access Control Vulnerability)