ランサムウェア業界に世代交代か、2022年に最も活躍したのは

企業にとって最も警戒すべきサイバー犯罪はランサムウェア攻撃だ。ビジネスの継続性が失われ、業績への悪影響が大きい。ランサムウェア攻撃を仕掛けてくる攻撃者にも「シェア」があり、2022年、最大の「LockBit」は40％のシェアを占めた。だが、2022年後半には新たな攻撃者が現れて、急速にシェアを伸ばしているという。

[David Jones，Cybersecurity Dive]

　ランサムウェア攻撃に対応するには、攻撃グループの状況にも目配りが必要だ。2022年に最も活発だったのは「LockBit」であり、1万2000回以上の攻撃を仕掛けた。LockBitは「商売」にも長けており、機密性の高い個人情報を提供すれば最大100万ドルを提供すると公言している。

新たなグループの活動が始まった

　2022年後半に入ると、LockBitを攻撃回数でしのぐグループの活動が目立ち始めた。どのような攻撃を仕掛けてくるのだろうか。

　サイバーセキュリティ保険を手掛けるAt-Bayの研究者によると（注1）、ランサムウェアグループ「Royal」の攻撃者は米国の中小企業に対する攻撃のために、Citrix Systemsの2つの製品の重要な脆弱（ぜいじゃく）性を悪用した疑いがあるという。

　脆弱性「CVE-2022-27510」を使うと、攻撃者がCitrix Systems製品の「Application Delivery Controller」や「Gateway」の認証手段を回避できる。つまり権限がないのに利用できてしまう。

　Citrix Systemsは2022年11月にこの脆弱性を公開しており（注2）、Royalが最初のエクスプロイト（実行コード）を利用した形だ。

　Royalは2022年1月に登場するや否や、2022年に最も攻撃をしかけたランサムウェアアクターの一つになった。NCC Groupの調査によれば、2022年11月までにRoyalは世界で最も活発な脅威グループとして、「LockBit」をトップの座から引きずり下ろした。

　Avertiumの調査によると（注3）、Royalは主に米国内の組織を標的として、悪意のある添付ファイルや悪意のある広告を使用してマルウェアを配信する経験豊富なグループだということが判明した。

　Royalは悪意のあるGoogle広告を使用して「BatLoader」マルウェアを配信する。他のグループとは異なり、RoyalはRaaS（Ransomware as a Service）のプロバイダーとして運営されていないため、アフィリエイトは存在しない。

　Avertiumによると、このグループは当初RaaSの一種「BlackCat」の暗号化器を使用していたが、その後独自の「Zeon」暗号化器を使うようになった。Royalの出力はランサムウェアの一種「Conti」の出力と類似している。

　Royalは2022年11月に、英国の自動車レース会場であるシルバーストーンサーキットを攻撃した際に犯行声明を出した。

出典：Citrix flaw exploited in ransomware attack against small US business（Cybersecurity Dive）

注1：Royal Ransomware: Likely First to Exploit Citrix Vulnerability (CVE-2022-27510) In The Wild

注2：Citrix CVEs need urgent security updates, CISA says（Cybersecurity Dive）

注3：EVERYTHING YOU NEED TO KNOW ABOUT ROYAL RANSOMWARE