ランサムウェアの支払は前年比 35%減、被害者による支払は記録されたインシデントの半数以下に

※この記事は自動翻訳されています。正確な内容につきましては原文をご参照ください。

2024 年には、ランサムウェアの状況に大きな変化が起こり、暗号資産が引き続き恐喝の中心的な役割を果たしました。しかし、法執行機関の取締りの強化、国際的な連携の改善、被害者による支払拒否の増加を背景に、ランサムの支払総額は前年比（ Yoy ）で約 35%減少しました。

これを受けて、多くの攻撃者は戦術を変更し、ブランド名を変更したり、流出したり、購入したコードから新たなランサムウェアが誕生するなど、より適応力があり機敏な脅威環境を反映した動きを見せています。また、ランサムウェアの活動はより迅速になり、データの持ち出しから数時間以内に交渉が始まることも珍しくありません。攻撃者は、国家によるものから、ランサムウェア・アズ・ア・サービス（ Raas ）の運用、単独の実行犯、クラウドサービスプロバイダーの Snowflake からデータを脅迫して盗んだデータ窃盗恐喝グループなど、多岐にわたります。

本章では、これらの動向とその影響について、さまざまな事例研究（ Lockbit 、イランのランサムウェア亜種、 Akira/Fog 、 Inc/lynx ）を交えながら、今年の傾向を例示しながら探っていきます。

ランサムウェアの活動のピークは 1 年の中頃

2024 年には、ランサムウェア攻撃者は被害者から約 8 億 1355 万ドルの支払いを手に入れましたが、これは記録的な 12 億 5000 万ドルを記録した 2023 年から 35%の減少であり、 2022 年以来初めてランサムウェアの収益が減少しました。

Mid-Year Crime Update で指摘したように、 2024 年 1 月から 6 月までのランサムウェア攻撃者による身代金は 4 億 5.980 万ドルに達し、 2023 年の同期間における身代金総額を約 2.38%上回りました。 2024年上半期には、記録的な 7,500 万ドルの支払いが Dark Angels に対して行われるなど、例外的に高額な支払いがいくつか発生しました。

前年同期比（ HOH ）の増加率は半分以下でしたが、 2024 年は年末までに 2023 年の総額を上回るだろうと予想していました。しかし幸いにも、 2024 年 7 月以降、支払いの活動は約 34.9%減速しました。この減速は、 2021 年以降の身代金支払いの前年比減少率や、盗難資金など一部の暗号資産関連犯罪の 2024 年下半期の全体的な減少率と類似しています。注目すべきは、今年度の減少率は過去 3 年間よりも顕著であるということです。

上半期の収益で上位 10 位のランサムウェアを詳しく調べると、これらの首位トレンドを推進するグループについて貴重な洞察が得られます。下の図に示すように、 2023 年 3 月以降 250 以上のエンティティを標的にしている Akira は、上半期のトップ 10 のランサムウェアの中で、 2024 年下半期に活動を活発化した唯一のグループです。 2024 年初頭に英国の国家犯罪対策庁（ NCA ）と米国連邦捜査局（FBI ）によって活動を妨害された Lockbit は、下半期の支払いが約 79%減少しました。これは、国際的な法執行機関の連携が効果的であることを示しています。 2023 年のトップグロース系統のひとつであった Alphv/BlackCat は、 2024 年 1 月に出口詐欺に遭い、下半期に空白が生じました。

ランサムウェアのインシデント対応企業である Coveware のインシデント対応シニアディレクターである Lizzie Cookson 氏は、以下のように述べています。「 Lockbit と Blackcat/Alphv の崩壊後、市場は以前の状況には戻りませんでした。単独犯の増加は見られましたが、以前に注目されたランサムウェアがダウンしたり閉鎖された後に見られたような、市場シェアを素早く吸収するグループは見られませんでした。現在のランサムウェアのエコシステムには、中小規模の市場に焦点を当てた多くの新規参入者が参入しており、それらの市場はより控えめな身代金要求に関連しています。」

下半期のランサムウェア支払い活動の減少をさらに文脈化するために、まずランサムウェアの出来事の代理となり得るデータ漏洩サイトに注目しました。以下のチャートでは、下半期にランサムウェアの出来事が増加した一方で、オンチェーンの支払いは減少しており、より多くの被害者が標的となったものの、支払った被害者は少なかったことが示唆されています。

Source: Writing.ch

2024 年には、データ漏洩サイトがこれまでのどの年よりも多くの被害者を出す結果となりました。被害者とされる人数が増えただけでなく、 Recorded Future の脅威インテリジェンスアナリストである Allan Liska 氏によると、 2024 年には 56 の新しいデータ漏洩サイトが確認されており、これは Recorded Future が 2023 年に確認した数の 2 倍以上です。しかし、データ漏洩サイトの情報や、それがランサムウェアのエコシステムについて示唆する内容については、考慮すべきいくつかの注意点があります。

Writing の脅威研究員である Corsin Camichel 氏は、リークの正当性に関するさらなる情報を共有しました。「私たちは、組織を主張するリークサイトの投稿を観察しましたが、より深い分析では失敗に終わりました。例えば、私たちは多国籍組織を主張する投稿を見ましたが、実際には小規模な子会社のみが影響を受けていました。 2024 年には、 100 以上の組織が 2 つ以上のデータリークサイトに掲載されました。Meow というリークサイトが大きな役割を果たしており、ウェブサイトを侵害し、ウェブサーバーやデータベースから取得したデータを掲載しているようです。また、上記のランサムウェアの支払いとデータ流出サイトの被害者数との逆相関関係の理由として、脅威の主体が被害者数を誇張または虚偽報告したり、過去の被害者の主張を転載したりしている可能性も考えられます。「 Lockbit の運営者は、『 Operation Cronos 』と呼ばれる法執行措置の後も、関連性と活動を維持しているかのように装うためにゲームを仕掛けました。彼らは、以前にリストアップされた多くの主張を再び投稿し直したり、 1 年以上も前の攻撃を追加したりしました」と、 Camichel 氏は付け加えました。

また、 Liska 氏は、データ流出サイトに掲載された不正な被害者に関する情報も共有し、「これは特に Lockbit に当てはまります。当局による法執行措置の後、アンダーグラウンドコミュニティの多くから疎外された後も関連性を維持しようと、データ流出サイトに 68%もの繰り返し被害者や完全なでっち上げの被害者を掲載しています」と述べています。

Lockbit の混乱と blackcat の出口詐欺の後、 lockbit と blackcat から追われた多くのオペレーターを吸収した ransomhub raas の台頭という興味深い現象も見られました。camichel 氏によると、 ransomhub は 2024 年に最も多くの被害者を出し、 2024 年 2 月に登場したばかりにもかかわらず、オンチェーンデータによると、 2024 年のトップ 10 のランサムウェアにランクインしました。

インシデント対応データによると、需要と支払額の差は拡大し続けており、 2024 年下半期には両者の差は 53%に達しました。インシデント対応企業からの報告によると、大多数の顧客は支払いを完全に拒否していることが示唆されており、実際の差額は以下の数字が示すよりも大きいことを意味します。

この被害者の回復力についてさらに詳しく知るために、サイバーセキュリティのインシデント対応企業である Kivu Consulting 社の Emea インシデント対応ディレクターである Daniel Saunders 氏に話を聞きました。「当社のデータによると、交渉の約 30%が実際に支払いに至るか、または被害者が身代金を支払うことを決定しています。一般的に、これらの決定は、特に侵害されたデータの価値に基づいて行われます」と彼は述べました。同様に、 Cookson 氏は、サイバー衛生と全体的な回復力の向上により、被害者は需要に抵抗し、攻撃からの回復のための複数のオプションを模索できるようになってきていると指摘しました。「最終的に、復号ツールが最善の選択肢であると判断し、最終支払額を減額するよう交渉するかもしれませんが、より多くの場合、最近のバックアップからの復元がより迅速で費用対効果の高いパスであることが分かります」と彼女は付け加えました。最終的な支払額は、当初の需要に関わらず、通常 15 万ドルから 25 万ドルの範囲でした。

下の図を見ると、 2024 年までのランサムウェアの支払い分布の推移が分かります。 2020 年には、ランサムウェアの支払いには長い尾と一つの山がありましたが、 2024 年には、 3つのクラスのランサムウェアの攻撃者がいました。例えば、 Phobos のような一部のランサムウェア攻撃者は、平均支払額が 500 ドルから 1,000 ドル未満にクラスタ化されています。 また、 1 万ドル前後のクラスタと、 10 万ドルを超える支払いのクラスタがあり、中には 100 万ドルに達するものもあります。 さらに、分布の上限に近いイベントも増えており、 100 万ドルを超える攻撃が相対的に増加していることを意味しています。

この区分は、 Cookson が観察したランサムウェア攻撃者の状況の変化を反映しており、小規模なグループが低額および中額の支払いを支配している一方で、 7 ～ 8 桁の異常な身代金が分布を右に押し上げ、 3 番目の支払額区分に近づいています。

以下の図では、総額（バブルの大きさ）、中央値（ x 軸）、脅迫事象のインデックス（ y 軸）の観点で、どの系統が最も悪質であったかがわかります。

ランサムウェアの資金の行方

ランサムウェアの資金洗浄方法を理解することは、エクスプロイト後の脅威行為者の行動に関する重要な洞察を提供し、法執行機関がより効率的に対応し、場合によっては確立されたパターンに基づいて今後の行動を予測することを可能にします。

下の図では、ランサム資金が主に中央集権型取引所（ Cex ）（資金の受け渡しに使用される）、個人ウォレット（資金を保有している）、ブリッジ（資金の動きを隠そうとしている）を通じて流れていることが分かります。 2024 年にはミキサーの使用が大幅に減少していることがわかります。 従来、ミキシングサービスは、ランサムウェアによる四半期ごとのマネーロンダリングの流れの 10%から 15 %を日常的に獲得していました。 ここ数年のランサムウェア犯罪者によるミキシングの減少は非常に興味深く、 Chipmixer 、 Tornado Cash 、 Sinbad などに対する制裁や法執行措置が混乱を招いたことの証左でもあります。ミキサーの代わりに、ランサムウェアの犯罪者たちがオフランディングを促進するためにクロスチェーンブリッジをますます利用していることが確認されています。一方、 Cex は依然としてランサムウェアのオフランディングの主要な手段であり、 2024 年にはこのタイプのサービスへの依存度が平均を若干上回る（ 39%対 2020 年から 2024 年の期間の 37%）ことが確認されています。

個人ウォレットに相当な量の資金が持たれていることは注目に値します。興味深いことに、主に金銭的な動機を持つランサムウェアのオペレーターは、これまで以上にキャッシュアウトを控えています。これは、おそらくランサムウェアの資金洗浄に関与する個人やサービスを標的とした法執行機関の予測不能かつ断固とした行動を脅威の主体が認識しているため、警戒と不確実性が高まっていることが主な原因であると考えられます。その結果、脅威の主体は、資金をどこに安全に置くことができるかについて不安を抱いています。

上の図に見られるトレンドの背後には、多数の要因が存在していると思われますが、 2024 年 10 月以降の KYC 不要取引所の利用減少は、 2024 年 9 月にロシアを拠点とする取引所 Cryptx が指定され、ドイツ連邦刑事局（ BKA ）が 47 件のロシア語 No KYC 取引所を差し押さえたことによるものかもしれません。これらの取締りのタイミングと、 No KYC の取引所へのランサムウェア流入が減少した時期が重なっていることは、注目に値します。

ランサムウェアケーススタディ

Panev の逮捕と lockbit のオペレーションへの影響

2019 年から 2024 年の間、イスラエルとロシアの二重国籍者である Rostislav panev は、 Lockbit を支援する上で重要な役割を果たしていたとみられています。彼は、攻撃者が侵害されたシステムに接続された任意のプリンターから身代金要求のメモを印刷できるようにするツールなど、グループのために複数のツールを開発したとして告発されており、その報酬としてビットコイン（ BTC ）で約 23 万ドルを受け取ったと伝えられています。Lockbit の管理者である Dimitry Yuryevich Khoroshev を含むロシア国籍の人物は、これらの攻撃に関与したとして、以前に制裁措置を受けていますが、ランサムウェアが世界中の犯罪者たちを巻き込んだ真のグローバルな脅威であることを認識することが重要です。Panev は現在イスラエルに身柄を拘束されており、米国への身柄引き渡しを待っています。米国では、詐欺、サイバー犯罪、電信詐欺、その他の犯罪の共謀容疑で逮捕状が出ているのです。

調査ツールのグラフでは、起訴状によると、 2022 年から隔週で、 Khoroshev に約 5,000 ドル相当の BTC が送金されていることが分かります。その後、 2023 年 7 月から 2024 年初めにかけて、毎月約 1万ドル相当の BTC が Khoroshev に送金されました。

Panev の逮捕は、 lockbit の再構築能力に大きな打撃を与える可能性があり、犯罪が起きてから何年も経った後でも、ブロックチェーンの透明性と不変性という性質が、違法行為の追跡や国際的なサイバー犯罪組織の壊滅を可能にする法執行機関の力を継続的に強化していることを浮き彫りにしました。LockBit の摘発と Panev の逮捕は、 2024 年の大きな勝利であり、より断片化され、連携の少ないエコシステムへのシフトのきっかけとなりました。

ランサムウェアへのイランの関与

ロシア語を話すサイバー犯罪者だけでなく、過去数年の間、イラン国籍の者も、ランサムウェア攻撃の促進と実行への関与により、米国財務省外国資産管理局（ OFAC ）から制裁を受けています。また、以前にも、 Lockbit の関連組織がイランのランサムウェア亜種と連携し、イランの取引所に資金を入金しているというオンチェーンの証拠について言及しました。

幸いにも、私たちのオンチェーン分析により、イランの攻撃者がブランド名を変更したり、別の Raas に切り替える場合でも、特定することができます。下の Chainalysis Reactor のグラフで示されているように、 4 つの異なるランサムウェアの亜種が同じイランの脅威アクターに関連付けられており、おそらく人気の Raas の亜種も展開していると思われます。また、複数の世界的な取引所で入金アドレスが再利用されており、一見ばらばらに見えるこれらの亜種が互いに結びついているだけでなく、攻撃者のイランとのつながりも承認されています。

多くの亜種のリブランディング・分化

Akira の出現以来、特に企業環境における脆弱性を悪用することに成功しており、注目度の高い攻撃を数多く仕掛けています。前述の通り、 Akira は 2024 年下半期にその活動を活発化した唯一のトップ 10 ランサムウェアです。

2024 年 9 月には、新しいランサムウェアの亜種である Fog が登場し、それ以来、 Akira と同様に重大な脆弱性を標的にする能力を示してきました。両グループは主に VPN の脆弱性を悪用することに重点を置いており、それによってネットワークへの不正アクセスが可能になり、結果としてランサムウェアを展開することができます。

Akira と Fog は、他のランサムウェアとは異なる同一のマネーロンダリング手法を使用しており、両者の関連性を裏付けるさらなる証拠となっています。例えば、次の Chainalysis Reactor のグラフは、 Akira と Fogが運用する複数のウォレットが、同じ No KYC 取引所に資金を移していることを示しています。

Akira と fog の関係に加え、類似したオンチェーンの挙動を調査した結果、 inc と lynx ランサムウェアの亜種にも関連性があることが分かりました。また、サイバーセキュリティの研究者も、この 2つの亜種が共通のソースコードを使用していることを指摘しています。

これらの重複する関係は、ランサムウェアのエコシステムにおけるより広範な傾向を示しています。すなわち、法執行機関の監視強化に対応するサイバー犯罪者の戦略の継続的な進化です。

進化する脅威への対応

2024 年のランサムウェアは、法執行機関の活動、被害者の回復力の向上、新たな攻撃傾向による変化を反映していました。取り締まりや、インシデント対応企業やブロックチェーン専門家との連携により、多くのランサムウェアグループが壊滅し、その収益性が低下しました。また、被害者もランサムの要求に対してより強い抵抗を示し、需要と供給のギャップが拡大しました。

ランサムウェアグループの資金の扱いは、法執行機関の圧力の下で引き続き適応を続けていますが、悪意のある行為者は、被害者からの支払いの洗浄がますます難しくなっています。 2024 年に達成された進歩をさらに発展させるには、継続的な協力と革新的な防御が引き続き重要となります。

This website contains links to third-party sites that are not the control of chainalysis, Inc. or its affiliates (Collectively “Chainalysis”). Access to Such Information DES NOT IMPLY ASSOCIATION With, Endorsment of, Approval of, or Recommendation by Chainalysis of the site or its operators, and chainalysis is not responsible for the product, services, or other content hosted there.

This Material is for Informational Purposses Only, and is not intended to provide Legal, Tax, Financial, or Investment Advice. Should Should Consult Their Own Advisors Before Making these types of decisions. Chainalysis has no responsibility or liability for any decision made or any other acts or omissions in connection with container's use of this material.

Chainalysis dues not guaranto or warrant the accuracy, Completeness, Timeliness, follow -up or validity of the information in this report and will not be responsible for any claim attributable to errors, omissions, or other inaccuracies of any part of such matterial.

The post ランサムウェアの支払は前年比 35%減、被害者による支払は記録されたインシデントの半数以下に Appeared First On Chainalysis.