企業にとって最も警戒すべきサイバー犯罪はランサムウェア攻撃だ。ビジネスの継続性が失われ、業績への悪影響が大きい。ランサムウェア攻撃を仕掛けてくる攻撃者にも「シェア」があり、2022年、最大の「LockBit」は40%のシェアを占めた。だが、2022年後半には新たな攻撃者が現れて、急速にシェアを伸ばしているという。
ランサムウェア攻撃に対応するには、攻撃グループの状況にも目配りが必要だ。2022年に最も活発だったのは「LockBit」であり、1万2000回以上の攻撃を仕掛けた。LockBitは「商売」にも長けており、機密性の高い個人情報を提供すれば最大100万ドルを提供すると公言している。
2022年後半に入ると、LockBitを攻撃回数でしのぐグループの活動が目立ち始めた。どのような攻撃を仕掛けてくるのだろうか。
サイバーセキュリティ保険を手掛けるAt-Bayの研究者によると(注1)、ランサムウェアグループ「Royal」の攻撃者は米国の中小企業に対する攻撃のために、Citrix Systemsの2つの製品の重要な脆弱(ぜいじゃく)性を悪用した疑いがあるという。
脆弱性「CVE-2022-27510」を使うと、攻撃者がCitrix Systems製品の「Application Delivery Controller」や「Gateway」の認証手段を回避できる。つまり権限がないのに利用できてしまう。
Citrix Systemsは2022年11月にこの脆弱性を公開しており(注2)、Royalが最初のエクスプロイト(実行コード)を利用した形だ。
Royalは2022年1月に登場するや否や、2022年に最も攻撃をしかけたランサムウェアアクターの一つになった。NCC Groupの調査によれば、2022年11月までにRoyalは世界で最も活発な脅威グループとして、「LockBit」をトップの座から引きずり下ろした。
Avertiumの調査によると(注3)、Royalは主に米国内の組織を標的として、悪意のある添付ファイルや悪意のある広告を使用してマルウェアを配信する経験豊富なグループだということが判明した。
Royalは悪意のあるGoogle広告を使用して「BatLoader」マルウェアを配信する。他のグループとは異なり、RoyalはRaaS(Ransomware as a Service)のプロバイダーとして運営されていないため、アフィリエイトは存在しない。
Avertiumによると、このグループは当初RaaSの一種「BlackCat」の暗号化器を使用していたが、その後独自の「Zeon」暗号化器を使うようになった。Royalの出力はランサムウェアの一種「Conti」の出力と類似している。
Royalは2022年11月に、英国の自動車レース会場であるシルバーストーンサーキットを攻撃した際に犯行声明を出した。
© Industry Dive. All rights reserved.
製品カタログや技術資料、導入事例など、IT導入の課題解決に役立つ資料を簡単に入手できます。