サイバー犯罪の傾向を前年比で評価する際には、どんな良いニュースも歓迎されます。過去2年間にわたり、IBMの脅威インデックス・レポートは、ランサムウェア攻撃の蔓延が徐々に減少し、現在では、2021年の21％と比べてサイバーセキュリティー・インシデント全体の17％のみを占めていることを示し、この分野における小規模な救済を行っています。
残念ながら、この傾向が次に進むかどうかを判断するのはまだ早い段階です。Searchlight Cyber社が発表した最近のレポートによると、2024年上半期にアクティブなランサムウェア・グループが56%増加したことは、ランサムウェアとの戦いがまだ終わっていないことを示す説得力のある証拠を提供しています。
Searchlight Cyberは、法執行機関、企業、MSSPが継続的なサイバー脅威の特定、追跡、防止を支援するために使用する監視ツールやプラットフォームを提供するダークウェブインテリジェンス企業です。
同社は最近、「Ransomware in H1 2024: Trends from the Dark Web」というタイトルの中間レポートを発表しました。このレポートでは、ランサムウェアの現状、特に最も攻撃的なランサムウェア・グループの活動に焦点を当てています。
このレポートでは、Searchlight Cyber社が収集した統計によると、現在、2024年半ばにダークウェブ上で73のアクティブなランサムウェア・グループが追跡されており、昨年の46グループと比べて56％の増加となりました。
本レポートのその他の重要なポイントには次のものがあります。
Searchlight Cyber社の脅威インテリジェンス責任者であるLuke Donovan氏は最近、このレポートの調査結果に関する追加の見解を得るためにインタビューを受けました。Searchlight Cyber社のメトリクス・レポートについて、Donovan氏は次のように明言しています。
「当社のランサムウェア被害者の数は、ランサムウェア・グループがダークウェブのリークサイトに掲載している組織によって主に決定されています。ランサムウェア・グループは他の多くの組織を攻撃した可能性があるものの、被害者を公開しないことを決定しているため、これらの数字にはいくつかの限界があります。
「反対に、ランサムウェア・グループは、評判を高めるために、実際に攻撃されていない組織を掲載している可能性が常にあります。しかし、これらの数字は、ダークウェブ上で活動している最も活発なランサムウェア・グループのことを大まかに示しています」
RaaSモデルは数年前から使われています。しかし、より多くのランサムウェアグループが表面化し、RaaSソリューションがより簡単に利用可能になるにつれて、関連する危険は増大する一方であると予想されます。
RaaSモデルが近年成功した理由について尋ねると、Donovan氏は次のようにコメントしました。「RaaSモデルの成功は、その拡張性にかかっています。ランサムウェアの攻撃者が攻撃を仕掛ける同一人物である場合、一度に請求できる被害者の数には自然と制限ができます。攻撃自体を多数の「アフィリエイト」に外部委託することで、最大のランサムウェア集団のいくつかは、身代金を保持できる組織の数を大幅に増やすことができます。
一見すると、一部のRaaS運営者は、攻撃を実行する責任を負う関連会社に説明責任を委任することで、法的な影響を一定レベルで隔離しようとしているように見えるかもしれません。しかし、多くの国では、RaaS事業者とその関連会社の両方に、サイバー攻撃の組織と実行に関して同等の責任を負わせる法律が施行されています。
「RaaSモデルの人気は、法的責任の変化よりも収益性を重視するものです。いずれにせよ、RaaSオペレーションを運用すると、ランサムウェア作成者にとってリスクが高まります。なぜなら、これらの集団は通常、より多くの被害者を抱えており、法執行機関のより大きな標的となるからです」とDonovan氏は述べています。
訓練を受けていない、または規律のないアフィリエイトにRaaSツールキットを提供することの意味を考えると、ランサムウェア集団自体に望ましくない注意を向けることができるため、このモデルの継続的な使用は驚くべきことです。これは、2024年2月に国家犯罪捜査局（NCA）が直近にLockBitのオペレーションを妨害したことで明らかになりました。
それでも、犯罪活動を大規模に拡大することによる金銭的利益は、多くのランサムウェア・グループが取っているリスクであることが既に証明されています。
最近言及したように、近年、ランサムウェアの被害者の数が減少しているという以前のレポートもあります。では、ランサムウェア・グループの増加は、企業が懸念すべきものなのでしょうか？具体的には、次のとおりです。
LockBitやBlackCatのような大規模なRaaSギャングによる最近の混乱は、最近のランサムウェア攻撃の減少に明らかに貢献しています。もう1つの潜在的な要因は、サイバーセキュリティーとサイバー犯罪グループの両方に影響を与えるサイバー関連分野における全体的なスキル不足に起因する可能性があります。しかし、だからといってランサムウェア攻撃の再開発が見込まれているわけではありません。
「現在私たちが観察しているのは、より細分化されたランサムウェアのエコシステムです。大規模なRaaSグループが混乱すると、通常、多数の小規模なコピーカテゴリー・グループが出現するのが一般的です」とDonovan氏は述べています。
Searchlight Cyber社のレポートが浮き彫りにしているように、多くの新たなランサムウェア・グループは非常に洗練された攻撃手法を使用しており、RaaS市場で大きな儲けを獲得する動機が高まっています。これは危険な組み合わせであるため、企業はランサムウェアにさらされるリスクを最小限に抑えるために防御戦略を継続的に評価しながら、警戒を続ける必要があります。