2023年7月のランサムウェア攻撃件数は、「Cl0p」ランサムウェアグループが「MOVEit」ソフトウェアに潜んでいたゼロデイ脆弱性を悪用するキャンペーンを展開したこともあり、過去最高を記録した。
提供:Boris Zhitkov/Getty Images
NCC Groupのグローバル脅威インテリジェンスチームが新たに公開したレポートによると、ランサムウェアを用いたサイバー攻撃による重大インシデント数は、7月に502件と過去最高を記録した。この値は2022年7月の198件と比較すると154%増に相当するという。
また、2023年7月の件数は同年6月の434件と比較すると16%増となっている。
NCC Groupはこの件数の多さについて、Cl0pグループの活動によるところが大きいとしている。Cl0pは「MOVEit」ソフトウェアの脆弱性に対する攻撃で悪名をはせているサイバー犯罪者グループだ。
Cl0pグループとは
Lace Tempestグループと関連があるとされているCl0pグループは、7月に発生した502件の攻撃のうち、171件に関与しているという。またその攻撃の多くは、ファイル転送ソフトウェアである「MOVEit Transfer」の脆弱性を攻撃したものとみられている。
Cl0pは2019年頃から活動しており、サイバー犯罪者向けの「サービスとしてのランサムウェア」(RaaS)製品で知られている。TA505との関連が指摘されているCl0pは、大規模組織を標的にしてランサムウェアによる高額の支払いを強要する攻撃的な組織であり、しばしば暗号化に先立って情報を盗み出すという、二重脅迫型の戦術を展開することで知られている。
被害者が身代金の支払いを拒絶した場合、盗み出されたデータがオンライン上に流出し、公開されているリークサイトで名前をさらされるというリスクを負うことになる。
MOVEitエクスプロイト
「緩やかに進む惨事」とも称されるMOVEitエクスプロイトによって、世界各地の数多くの組織が影響を受け、数百万人規模の個人データが盗み出された。
ファイル転送サービスMOVEit Transferと、「MOVEit Cloud」を展開するProgress Softwareは5月、これらのサービスに特権昇格と、顧客環境への不正なアクセスを許してしまうゼロデイ脆弱性が潜んでいたと報告した。ここでの問題は、これらのサービスが政府機関や規制の厳しい業界において、直接的に、そしてソフトウェアサプライチェーンを介して利用されているところにある。
被害者とされる組織には、米エネルギー省やShell、BBC、英情報通信庁(Ofcom)、ナショナル・ステューデント・クリアリングハウス、米国における多くの大学が含まれている。
影響を受けた業界
NCC Groupのレポートによると、産業界に対するランサムウェア攻撃はインシデント数にして155件と、全体の約31%を占めた。産業界には、プロフェッショナルサービスや商用サービスのほか、製造、建設、エンジニアリングの企業が含まれている。
これに続くのが一般消費財セクター(16%)で、これにはホテル、エンターテインメント、メディア、小売、自動車などが含まれる。インシデント数が3番目に多かったのはテクノロジーセクター(14%)だった。
