サイバーニュース.jp

世界のサイバーなニュースを配信

ランサムウェア攻撃における初期アクセス市場の役割:オーストラリアとニュージーランドを標的

カテゴリ:

深刻化するオーストラリアとニュージーランドのサイバー脅威

2025年、オーストラリアとニュージーランドにおけるサイバー脅威環境は危機的な局面に突入しました。初期アクセス販売の劇的な増加、高度なランサムウェア攻撃、そして主要セクターを巻き込む広範囲なデータ漏洩が顕著になっています。2025年オーストラリアおよびニュージーランド脅威概況レポートによると、2025年1月から11月の間に記録された脅威活動は、侵害されたネットワークアクセスが日常的に売買され、複数の産業で武器化されている高度に商業化された地下エコシステムを浮き彫りにし、この地域の組織に前例のないリスクをもたらしています。

データ豊富な産業が主な標的

脅威概況分析により、データ豊富な産業に集中した標的戦略が明らかになりました。特に、小売、銀行・金融サービス・保険(BFSI)、専門サービス、ヘルスケアの各組織は、機密性の高い個人識別情報(PII)、財務データ、およびその後のアクセス機会が豊富であるため、不釣り合いなほどに標的にされ続けています。このセクターへの集中は、攻撃者が最大の金銭的利益と、その後の攻撃における運用レバレッジを最大化しようとする意図的な戦略を反映しています。

急成長する初期アクセス市場

Cyble Research and Intelligence Labs(CRIL)は、2025年中にオーストラリアおよびニュージーランドの組織に影響を与えた92件の侵害されたアクセス販売を記録しました。中でも小売業が主要な標的として浮上し、観測された全活動の約34%にあたる31件のインシデントを占め、他のどのセクターよりも3倍以上高い割合となりました。BFSIセクターでは9件、専門サービス組織では7件の侵害アクセスリストが記録されています。これら3つのセクターを合わせると、報告期間中に観測された初期アクセスリストの半数以上を占めました。

この集中戦略は、これらのセクターがなぜ脅威アクターにとって魅力的であるかを明確に示しています。小売業およびBFSI組織は日常的に大量の顧客データと支払い情報を処理しており、これらは直接的な金銭化やその後のランサムウェア攻撃にとって非常に価値のある標的となります。専門サービス企業は、通常、複数のクライアント環境へのアクセスを維持しているため、収益性の高いサプライチェーン攻撃の機会を提供するという追加の利点があります。

市場分析によると、初期アクセス仲介市場は特定の単一アクターによって支配されていない、非常に細分化された状況であることが示されています。「Cosmodrome」がこの期間中に最も多作な侵害アクセス販売者として浮上し、「shopify」と称するアクターがそれに続きました。しかし、これらのアクターが支配したのは市場活動のわずかな割合に過ぎません。最も活発な7人の販売者が全アクセスリストの約26%を占める一方で、数十人の個々の脅威アクターが残りのリストに貢献しており、多くは1回か2回しか投稿していません。この分散型構造は、初期アクセス販売が多数の脅威アクターにとってアクセス可能な収益源となっており、地下経済の回復力と拡張性、およびネットワーク侵害の複数の経路を示唆しています。

現実世界への影響事例

脅威概況レポートは、初期アクセスがいかに組織に実質的な影響を与えるかを示すいくつかの重要な事例を文書化しています。

  • 2025年6月:脅威グループ「Scattered Spider」がオーストラリアの大手航空会社に対してサイバー攻撃を行い、顧客サービスポータルを侵害し、氏名、メールアドレス、電話番号、生年月日、フリークエントフライヤー番号を含む約600万人の顧客記録を漏洩させました。捜査当局は、この事件が航空セクターを標的とした広範なキャンペーンの一部である可能性を疑っています。
  • 2025年3月:脅威アクター「Stari4ok」が、ロシア語フォーラムExploitでオーストラリアの大規模小売チェーンへの不正アクセスを宣伝。ホスティングサーバーに保存された約250GBのデータ、特に71,000件のユーザー記録を含む30GBのSQLデータベースへのアクセスを主張し、開始価格は1,500米ドルでした。
  • 2025年5月:アクター「w_tchdogs」が、Darkforumsでオーストラリアの通信プロバイダーへの不正アクセスを提供。ドメイン管理ツールと重要なネットワーク情報へのアクセスを主張し、価格は750米ドルでした。
  • 2025年4月:身元不明の脅威アクターが、オーストラリアとニュージーランドで事業を展開する著名な会計事務所のITシステムを侵害し、顧客データが漏洩。同社はクライアントにフィッシングの警告を発し、両国で裁判所の差し止め命令を取得しました。
  • ハクティビストの活動も依然として活発であり、「RipperSec」は1月にオーストラリアのケーブルおよびメディアサービスプロバイダーに属するサポートされていない光ファイバーネットワーク監視デバイスへのアクセスを主張しました。

元記事: https://gbhackers.com/ransomware-campaigns/

投稿をさらに読み込む