ランサムウェアグループの標的になる基準が判明:どのような企業が狙われているか?

news

ランサムウェアグループは、ダークウェブのマーケットプレイスや他の攻撃者から、被害者のネットワークへのアクセス権を購入するケースが増えています。

これらの広告を分析することで、ランサムウェアがどのような企業を攻撃対象としているのかを知ることができます。

ランサムウェアグループは、サイバー攻撃を行う際、まず企業のネットワークにアクセスしてランサムウェアを展開する必要があります。

彼らは攻撃によって莫大な利益を得ているため、自らターゲットを見つけて侵入するのではなく、イニシャルアクセスブローカー(IAB)を通じて、価値の高いターゲットへの最初のアクセス権を購入するのが一般的です。

IABとは、パスワードの総入力やエクスプロイト、フィッシングキャンペーンなどによってネットワークに侵入し、そのアクセス権を他のサイバー犯罪者に販売する他の攻撃者のことです。

サイバーセキュリティ・インテリジェンス企業であるKELA社は、ランサムウェアグループの「求人広告」を調査した結果、大規模なエンタープライズ・ターゲティング・オペレーションが攻撃の対象となる企業に求める基準をまとめました。

特定の企業を狙う

KELA社は、7月に作成された48件のフォーラムの投稿を分析しました。その中には、ネットワークへのアクセス権を購入しようとしている攻撃者がいました。研究者によると、これらの広告の40%は、ランサムウェアグループと協力している人々によって作成されているとのことです。

Home
KELA's mission is to provide 100% actionable intelligence on threats emerging from the cybercrime underground to support cybercrime prevention.
kelacyber.com

これらの広告には、ランサムウェアの実行者が求める企業の条件が記載されており、企業の所在地、業種、予算などが記載されています。

例えば、ランサムウェア「BlackMatter」の募集広告では、米国、カナダ、オーストラリア、英国を中心に、収益が1億ドル以上のターゲットを探しているとしています。このアクセスに対して、3,000ドルから10万ドルを支払うことを望んでいます。

KELA社の研究者は、ランサムウェアギャングに関連する脅威アクターが作成した20件近い投稿から欲しい広告を分析した結果、以下のような企業の特徴が狙われていることを突き止めました。

地理的条件

地域:ランサムウェアグループは、米国、カナダ、オーストラリア、ヨーロッパの被害者を好みます。

依頼内容の大半は、被害者の希望する場所について言及しており、中でも米国が最も多く、攻撃者の47%が言及していました。その他、カナダ(37%)、オーストラリア(37%)、ヨーロッパ諸国(31%)などが上位に挙げられています。ほとんどの広告には、複数の国を募集する内容が含まれていました

このように地理的にフォーカスされている理由は、攻撃者が最も裕福な企業を選ぶためであり、それは最大かつ最も先進的な国に位置していることが予想される。

収入

KELAは、ランサムウェアグループが望む平均的な最低収益は100億円=1億ドルであると述べています。しかし、これは被害者の地理的位置によって異なる可能性があります。

米国の被害者には500万米ドル以上、ヨーロッパの被害者には2,000万米ドル以上、その他の国々には4,000万米ドル以上の収入が必要である

攻撃対象のブラックリスト

医療機関を避けているというグループもいましたが、暗号化する企業の他の業種にはあまりこだわっていないようでした。

しかし、Colonial Pipeline、警視庁、JBSの攻撃の後、多くのランサムウェアギャングは特定のセクターを避けるようになりました。

47%のランサムウェア攻撃者は、ヘルスケアおよび教育業界の企業へのアクセス権購入を拒否しました。37%は政府機関への侵入を禁止しており、26%は非営利団体に関連するアクセスを購入しないと主張しています。

攻撃者がヘルスケアや非営利産業のオファーを禁止する場合は、アクターのモラルコードによる可能性が高いと考えられます。

教育分野が禁止されている場合、その理由は同じか教育被害者が単に多くのお金を払う余裕がないということになります。

攻撃者が政府系企業を標的にすることを拒否する場合、法執行機関からの不要な注目を避けようとするものです。

国のブラックリスト

大規模なランサムウェアの多くは、独立国家共同体(CIS)に所在する企業を攻撃することを特に回避する傾向があります。これは、これらの国を標的にしなければ、現地の当局も標的にしないと考えているからです。

ブラックリストに登録されている国は、ロシア、ウクライナ、モルドバ、ベラルーシ、キルギス、カザフスタン、アルメニア、タジキスタン、トルクメニスタン、ウズベキスタンなどです。

残念ながら、上記の基準を満たしていなくても、その企業が安全であるとは限りません。

Dharma、STOP、Globeなどの多くのランサムウェアグループは、あまり選り好みをしないため、ランサムウェアの標的にされてしまう可能性があります。

さらに、これらのグループは、このような特徴を持つ被害者を好むとはいえ、必ずしも単独でネットワークに侵入しないとは限りません。

DarkSide、REvil、BlackMatter、LockBitなどのランサムウェアグループが、小規模な企業をターゲットにして、より少額の身代金を要求する様子をよく目にします。

Comments

タイトルとURLをコピーしました