今年3月のランサムウェア攻撃がグローバルで急増、背景にGoAnywhere MFTの脆弱性を悪用したCl0pランサムウェアによる攻撃があるようです。3月のランサムウェア攻撃を種類別にみると、Cl0pランサムウェアがLockbit3.0を上回り、もっとも攻撃が多かったということです。
2月より91%増加、前年同月比でも62%増
英・マンチェスターに本社を置く情報保証会社、NCC Groupeのグローバル脅威インテリジェンスチームの分析によると今年3月のランサムウェア攻撃は前月より91%増加、前年同月比でも62%増加して過去最大だったということです。標的となった地域は北米が全体の48%ともっとも多く、次いでヨーロッパ28%、さらにアジアが13%を占めました。3月のランサムウェア攻撃を種類別に見るとCl0pによる攻撃がもっとも多く全体の28%を占め、Lockbit3.0を上回り、Lockbit3.0による攻撃はCl0pに次いで多かったということです。Cl0pランサムウェア攻撃がもっとも多くなったのは初めてで、Lockbit3.0がランサムウェア攻撃のトップの座を明け渡したのは2021年9月以来2回目だということです。
三井物産セキュアディレクション(MBSD)のMBSD Cyber Intelligence Group (CIG)の2023年3月の「暴露型ランサムウェア攻撃統計 CIGマンスリーレポート」においても、Cl0pは104件とLockbit3.0の98件を上回りもっとも多くなっています。ちなみに過去1年間の状況を見るとCl0pの攻撃はほとんど目立っていませんので、今年3月になって急に増えた状況です。
GoAnywhere MFTの脆弱性を悪用
Cl0p の攻撃が3月に急増したのは、Fortra社(米ミネソタ州)が提供しているファイル転送管理ソリューションのGoAnywhere MFTの脆弱性CVE-2023-0669を悪用した攻撃によるもので、NCC GroupeによるとCl0pによる3月の被害件数はグローバルで129件にのぼり、Cl0pによる攻撃としては過去に例のない数にのぼっているということです。Cl0pがリークサイトで公開している企業の中には日本企業も含まれおり、日立エナジーのグローバル本社(スイス)は3月17日に同社システムに不正アクセスがあったことをウェブサイトで明らかにしました。ただし、日立エナジーは「当社のネットワーク運用や顧客データのセキュリティは侵害されていない」としています。三井物産セキュアディレクション(MBSD)の2023年3月の「暴露型ランサムウェア攻撃統計」では、3月にCl0pランサムウェアによる被害を受けた国内組織として電力システム開発会社(海外拠点)とITサービス会社の2社をあげています。
センチネルワンによるとCl0pランサムウェアは2019年に登場したランサムウェアで、TA505脅威グループに関連付けられているということです。2020年の初めにリークサイトによるデータの公開を行うようになり、いわゆる二重脅迫型の攻撃を行っているランサムウェアです。ロシア語が使われているシステムに対しては攻撃をしないように設計されており、ロシアを拠点とするグループとみられているようです。Trickbot/Contiグループなど同じくロシアを拠点にしているとみられるグループとの関係性が注目されます。
ランサムウェアのグループは昨年2月のロシアによるウクライナへの軍事侵攻以降、変容しているとみられ、英当局は「Contiランサムウェアのグループのメンバーは2022年5月に解散したが、このグループのメンバーは英国を脅かす悪名高い新しいランサムウェア株のいくつかに引き続き関与している」と指摘しています。Cl0pランサムウェアの突然の増加が一時的なものなのか、あるいは今後もLockbit3.0を上回るランサムウェアとして活発な攻撃を展開していくのか、ランサムウェアを操るサイバー犯罪グループの動向と合わせて注視されます。
■出典
https://newsroom.nccgroup.com/news/ncc-group-monthly-threat-pulse-march-2023-465402
https://www.sentinelone.com/anthology/clop/
https://www.hitachienergy.com/news/features/2023/03/third-party-cybersecurity-incident