ソフォス株式会社は4月16日、「2025年版ソフォス脅威レポート:現在主流のサイバー犯罪」を発表した。
同レポートによると、2024年のインシデント件数は、防御策の改善や一部の大手RaaS事業者の取り締りもあり、全体としてはやや減少したが、ランサムウェア攻撃者の戦術は進化しており、被害者のファイルを暗号化できなかった場合の攻撃はより迅速になり、窃取したデータを使って標的を恐喝する姿勢がより顕著となり、ファイルの暗号化を試みない事例さえ確認されているという。
攻撃者は多くの場合、エンドポイント保護ソフトウェアの検出範囲外、標的ネットワークへのリモート、または直接接続された管理されていないデバイスからのランサムウェア実行を試みるが、これらの「リモート」ランサムウェア攻撃では、ネットワークファイル共有接続を使用して他のマシン上のファイルにアクセスし暗号化するため、ランサムウェアが直接実行されることはなく、マルウェアスキャンや動作検出などの防御機能から暗号化プロセスを隠せる。
Sophos X-Ops がテレメトリを調査した結果、2024年のリモートランサムウェアの使用は昨年から50%増加し、2022年からは141%増加していることが判明している。
また、MFAの登場でユーザー名とパスワードのみからアクセス権を得ることが難しくなる中で、サイバー犯罪市場では認証情報と多要素認証トークンの両方をリアルタイムで取得する新たな手法で応じているという。
MFAフィッシングでは、フィッシングプラットフォームを多要素認証で保護されたサービスにおける実際の認証プロセスの代理として機能させる「中間者攻撃」アプローチに依存しており、同プラットフォームは、キャプチャした認証情報とログインから返されたセッションCookieを別のチャネルでサイバー犯罪者に渡し、これらの認証情報とトークンを正規のサービスサイトに渡すことでアクセスを獲得できるとのこと。
「Dadsec」と呼ばれるMFAフィッシングプラットフォームが2023年秋に登場し、2024年には「Tycoon」というフィッシング代行プラットフォームに関連するキャンペーンと結びつけられが、「Dadsec」由来のツールを用いたフィッシングは「Tycoon」だけにとどまらず、「Rockstar 2FA」と「FlowerStorm」も「Dadsec」プラットフォームのアップデートバージョンをベースに、C2チャネルとしてTelegramを使用しているという。「Rockstar 2FA」は2024年半ばに非常に活発だったが、11月には技術的な障害が発生し、程なくして「FlowerStorm」に取って代わられている。
「RockStar 2FA」が非常に活発だった2024年半ば頃に、Sophos X-Opsではソフォスの従業員を標的とした「クイッシング」キャンペーンを発見している。同キャンペーンで、ソフォスの従業員はドキュメントへの安全なアクセスを提供するとされるQRコードが埋め込まれたPDF付きのメールを受け取っている。QRコードは不正なドキュメント共有サイトにリンクされており、このサイトは「RockStar 2FA」や「FlowerStorm」と非常によく似た特徴を持つ、攻撃者が通信の中間に入るタイプのインスタンスであった。なお、同キャンペーンに引っかかったソフォス従業員は一人もいなかった。
Sophos X-Ops では過去2年間にわたり、サイバー犯罪市場向けに開発された多様な悪意のあるソフトウェアツール「EDR キラー」を観測しているが、同ツールは、カーネルドライバの脆弱性を悪用してOSへの特権的なアクセスを取得し、標的の保護プロセス、特にエンドポイントセキュリティソフトウェアを強制終了させることで、ランサムウェアやその他のマルウェアを無制限に展開できるようにすることを目的としている。2024年にランサムウェアの攻撃者によって使用されたさまざまな「EDRキラー」の中で最もよく見られたのは、複数の攻撃者によって使用されたツール「DRSandBlast」 で、Sophos MDR(Sophos Managed Detection and Response)/IRの両方の事例で確認された「EDRSandBlast」の亜種は、年間を通してランサムウェア攻撃の試みの中で検出され、米国のサンクスギビングデー(11月)前後に劇的なピークを迎えている。
![Oracle Cloud からデータ窃取の報告 ほか [Scan PREMIUM Monthly Executive Summary 2025年3月度] 画像](/imgs/p/VBQCg88_AM0-DSZSF4-0dQsJwAfOBQQDAgEA/48172.jpg)
