近年最大のランサムウェア攻撃とその背後にいるグループ

ランサムウェアは、デバイス、サーバー、またはコンピューター システム上のファイルが暗号化され、その実行者 (多くの場合、ハッカー グループまたはシンジケート) がデータを復号するために身代金を要求するマルウェアの一般的な形態であり、増加傾向にあります。 ExpressVPNによると2023年、ランサムウェアによる支払額は10億ドルを超え、過去最高額となりました。生成AIの時代では、暗号化手法がますます高度化することで、この数字はさらに高くなるでしょう。

ギャラリーを開く 9

ギャラリーを見る – 画像 9 枚

さらに、ランサムウェアのツールやサービスのマーケットプレイスとも言える、ランサムウェア・アズ・ア・サービス (RaaS) の台頭もあります。これは、ランサムウェア グループやハッカーが好んで使う支払い手段である暗号通貨の匿名性を活用したサービスです。サイバー攻撃の民主化により、事実上誰でも、無防備な個人、企業、政府機関に対してサイバー攻撃を仕掛けられるようになりました。

近年、大規模なランサムウェア攻撃が医療業界、ネットワーク セキュリティ企業、Windows ユーザー、石油パイプライン、さらにはコスタリカを標的にしています。最も注目すべき攻撃を以下に紹介します。

ランサムウェアによりコロニアルパイプラインが機能不全に (2021)

近年最大のランサムウェア攻撃とその背後にいるグループ 3
ギャラリーを開く 9

米国最大の燃料パイプラインシステムであるコロニアル・パイプラインは、テキサス州とニューヨーク州の間を毎日最大300万バレル輸送しています。2021年5月7日、コロニアル・パイプラインのネットワークは、公開されたVPNアカウントを介して侵入され、約100GBのデータが盗まれたほか、複数のコンピュータシステムが感染しました。

ホワイトハウスは重要なインフラへの直接攻撃とみなし、非常事態を宣言し、パイプラインは閉鎖され、航空会社を含む無数の人々と企業に影響を及ぼした。

DarkSide ハッキング グループが、この注目を集めたランサムウェア攻撃を実行しました。連邦政府機関はすぐに通知を受け、介入しましたが、Colonial Pipeline はネットワークとシステムの制御を取り戻すために、復号キーと引き換えに約 500 万ドルの身代金 (75 ビットコイン) を支払いました。司法省は、攻撃から数か月後に攻撃者から約 220 万ドルを回収しました。

Lazarus グループが Windows ユーザーと英国の医療制度に大混乱を引き起こす (2017)

近年最大のランサムウェア攻撃とその背後にいるグループ 4
ギャラリーを開く 9

これは数年前に発生したもので、WannaCry ランサムウェア攻撃とも呼ばれています。これは、米国国家安全保障局 (NSA) によって開発されたとされる Microsoft Windows のセキュリティ脆弱性を悪用して、ユーザーや企業を標的とした、世界中を駆け巡る攻撃でした。

23万台以上のデバイスが攻撃を受け、このサイバー攻撃による損失と損害は40億ドルと推定されている。英国のNHS医療システムのような有名な被害者は、数万件の診察や手術が影響を受け、およそ9,200万ポンドの損失を被った。

すべてのランサムウェア攻撃と同様に、感染したファイルは暗号化されます。Lazarus Group によって実行されたこの攻撃では、ハッカーは復号キーと引き換えに 300 ドル相当の暗号通貨を要求しましたが、その金額は 3 日後に 2 倍になりました。支払いが行われなかった場合、感染したファイルは削除されました。

WannaCry が特に厄介だったのは、自己増殖能力でした。ユーザーからの入力がなくてもネットワークを通じて拡散する可能性があり、それが世界規模で広がり、金融、医療、物流、運輸などのさまざまな組織を襲いました。

コスタリカ政府がハッキングされる(2022年)

近年最大のランサムウェア攻撃とその背後にいるグループ 5
ギャラリーを開く 9

2か月以上にわたり、ランサムウェア集団ContiとHive コスタリカの公的機関を攻撃した財務省、科学技術省、電気通信省、労働省などを含む多くの省庁が攻撃を受けました。最初の攻撃により金融部門の公共サービスに大幅な遅延が生じ、コスタリカ政府は国家非常事態を宣言しました。

ランサムウェア集団 Conti は、納税申告書を含む同国の国民や企業の機密財務データや文書を掌握し、1,000 万ドルの支払いを要求しました。この集団は、まず侵入して認証情報を盗んだ 1 台のデバイスにマルウェアをインストールし、1 テラバイトを超えるデータを盗み出しました。コスタリカ政府は身代金の支払いを拒否し、この集団を「テロリスト」としました。

これに続いて、Hive Group はコスタリカ社会保障基金への次の攻撃でデータを復旧するために 500 万ドルを要求しました。重要な金融システムが失われたため、コスタリカ政府はシステムが侵害された 1 日あたり 3,000 万ドルの損失を被ったと推定されています。米国、イスラエル、スペインの政府、およびテクノロジー大手の Microsoft が支援と復旧サービスの提供に踏み切りました。

ラプサス$がポルトガルのメディア複合企業インプレサを攻撃(2022年)

近年最大のランサムウェア攻撃とその背後にいるグループ 6
ギャラリーを開く 9

インプレサはポルトガル最大のメディア複合企業で、全国に大手新聞社やテレビ局を運営している。2022年、ランサムウェア集団「ラプサス$」がポルトガルの新聞「エクスプレス」を攻撃し、同紙のアーカイブにアクセスし、同紙の公式アカウントからツイートを送信し、購読者にフィッシングメールを送信した。

そこから、攻撃者はImpresaのAmazon Web Servicesアカウントにアクセスし、最終的に、データの漏洩や販売を阻止するために数百万ドルを要求した。データには、文書やビデオのデジタルアーカイブ、さらにImpresaの多数の従業員や顧客に関する情報が含まれていた。

Lapsus$は、従業員の個人情報を含む「膨大な量の機密データ」を漏洩し、いまだ被害が続いている。興味深いことに、支払いが行われなかった後、ランサムウェア集団Lapsus$は金銭の要求をやめた。ミカエル・ペレイラ氏によると、 エスプレッソのシニア記者最初の攻撃の動機は依然として謎のままである。

Citrix ブリード脆弱性が LockBit グループに悪用される (2023)

近年最大のランサムウェア攻撃とその背後にいるグループ 7
ギャラリーを開く 9

2023年、Citrix Bleed脆弱性エクスプロイトが公開されているCitrixサーバーを稼働している大企業や組織が、最大規模のRansomware-as-a-Service(RaaS)グループの1つであるLockBitからのランサムウェア攻撃にさらされました。影響を受けた企業の長いリストには、世界最大の銀行の1つである中国商業銀行(ICBC)、物流会社のDP World、航空業界の最大手企業の1つであるボーイングが含まれていました。

Citrix Bleed 脆弱性は、検出がほぼ不可能な、まれなセキュリティ侵害の 1 つです。HTTP リクエストを悪用して、認証をバイパスし、資格情報なしでサーバーとネットワーク セッションを開いたままにします。

エクスプロイトを修正するパッチが配布された後、LockBit グループは、まだ脆弱なままの公開アクセス可能な Citrix サーバーを利用しました。物流会社 DP World の場合、システムが侵害されたために 30,000 個を超える輸送コンテナがオーストラリアに取り残されました。関係者全員が身代金を支払ってデータを解放する案を検討していましたが、ハッカーはボーイングが身代金を支払う前にデータを公開しました。

GandCrab ランサムウェアが企業や個人から数十億ドルを脅し取る (2018-2019)

近年最大のランサムウェア攻撃とその背後にいるグループ 8
ギャラリーを開く 9

広く成功したGandCrab Ransomware-as-a-Service(RaaS)プログラムの背後にいる正体不明のアクターは捕まっていない。責任者は、さまざまな被害者から20億ドル以上の支払いを受けた後、プログラムを終了した。GandCrabは、 最も成功したランサムウェア攻撃 複数の関連会社にライセンス供与され、その後攻撃を実行し、元の開発者と利益を分け合ったためです。

ほとんどのランサムウェア攻撃と同様に、この攻撃は主にフィッシングメールや、高度なネットワークやプログラミングの知識を必要としないエクスプロイトキットを通じて拡散しました。個々のシステムが感染すると、GandCrab はすべてのファイルを暗号化し、画面にプロンプ​​トを表示して、ファイルの復元とシステムの制御と引き換えに暗号通貨による身代金を要求します。GandCrab ランサムウェア攻撃は 2018 年 1 月から 15 か月間にわたって実行され、世界のランサムウェア市場全体の半分を占めています。

結論

近年最大のランサムウェア攻撃とその背後にいるグループ 9
ギャラリーを開く 9

ランサムウェアは大きなビジネスであり、最大規模のグループの中には独自の人事部を持ち、適切な言葉が見つからないため「顧客」と呼ぶことのできる人々と広範囲にわたるアフィリエイト プログラムを運営しているところもあります。昨年のランサムウェアによる支払いは 10 億ドルを超えており、個人、政府、企業は 2024 年のサイバー セキュリティの重要性を過小評価すべきではありません。

セキュリティやその他のソフトウェアを最新の状態に保つという一見単純なことでさえ、システムのデータがロックされ身代金を要求されるかどうかの違いを生む可能性がある。業界の専門家や倫理的なハッカーは、データが復元される保証がないため、被害者は身代金を支払わないよう推奨している。また、データが漏洩または販売されないためにグループがより多くの支払いを要求したケースも複数ある。

強力なサイバーセキュリティ対策による予防は、ランサムウェア攻撃のリスクを軽減する最善の方法です。攻撃を受けた場合は、まず影響を受けたデバイスを隔離し、セキュリティ資格情報を更新して、法執行機関に報告する必要があります。

×