政府機関や重要なインフラ部門を標的とするサイバースパイ活動家に焦点を当てた最新のレポートにより、標的の注意を逸らしたり、誤認させたりするため、ランサムウェアを戦略的に使用していることが明らかになりました。
サイバー攻撃者は、必然的に、攻撃の痕跡を隠すために二次的な攻撃を実行しています。しかし、痕跡を隠すための攻撃が、サイバー攻撃者の真の目的である場合もあれば、単に初期攻撃の後でさらに金銭を得るために行っている場合もあります。
セキュリティベンダーであるSentinelOneとRecorded Futureが共同で発表した最新の報告書では、東アジア、ブラジル、インド亜大陸での攻撃に関与している中国のAPTグループ「ChamelGang」を追跡しています。報告書には、ChamelGangを含む国家の支援を受けたサイバー攻撃グループが、データの暗号化、データ流出、恐喝などの新たな攻撃手法を追加していることが記載されています。
新たな攻撃手法を追加することで、サイバー攻撃を支援している国家はもっともらしく攻撃への関与を否定することができ、標的となった政府に誤った対応を促し、さらに被害を受けた組織がスパイ活動の標的ではなかったように見せかけることもできます。攻撃者は組織にすでに侵入しているため、これらの攻撃を追加で実行でき、容易に金銭を稼ぐことができます。
このような戦術が追加されることで、サイバー攻撃は極めて危険になります。ランサムウェアを実行するサイバー攻撃者が、ChamelGangのような攻撃グループとは逆の新しいビジネスモデルを構築する可能性も否定できません。つまり、ランサムウェアグループが初期アクセスを確立して、あらゆる場所にランサムウェアを秘密裏に展開する可能性もあります。
国家がスパイ行為に使用できるアクセス情報を入手でき、国家とランサムウェアグループを結びつけ、スパイ活動に特化したデータを漏洩し、それらのデータを国家に販売し、ランサムウェア攻撃を継続して実行できるようにする「スパイのためのマーケットプレイス」をサイバー攻撃者が構築するだけで、この脅威は簡単に現実となります。これは恐ろしいことです。
だからこそ、依然としてフィッシングを主な攻撃手法としている初期アクセスの段階で攻撃を阻止することが重要になります。初期攻撃だけではなく、二次攻撃の被害にも遭わないようにするために、組織の防御策の一環として新しいスタイルの先進的なセキュリティ意識向上トレーニングの受講が不可欠です。
原典:Stu Sjouwerman著 2024年7月16日発信 https://blog.knowbe4.com/espionage-intent-threat-groups-now-using-ransomware