2021年のランサムウェア動向まとめ#1:ランサムウェアの間違った先入観

news

セキュリティ企業のカスペルスキーは2021年のランサムウェア動向をまとめたレポートを発表しました。

Ransomware world in 2021: who, how and why
In this report, we take a step back from the day-to-day ransomware news cycle and follow the ripples back into the heart of the ecosystem to understand how it i...

年々攻撃者は大胆になり手法は洗練されシステムに侵入されてしまっています。

しかし報道ではどのような企業がランサムウェアの被害に遭っているかという点に集中していますが、ランサムウェアのエコシステムがどのように構成されているかを解説しています。

まず、ランサムウェアの脅威に関する意識を妨げている3つの先入観を解説し、次にサイバー犯罪者がどのように強力しどのような種類のサービスを利用しているか、最後に有名なランサムウェアグループを「REvil」と「Babuk」を解説しています。

ランサムウェアに関する3つの間違った先入観

先入観その1:ランサムウェアのギャングは暴力団である

2020年、ランサムウェアの世界でも注目を集めるグループがいくつも登場しました。

犯罪者たちは事前に何らかの形で悪評を立てることができれば、被害者が身代金を支払ってくれる可能性が高くなることを発見しました。

また暗号化されたファイルを復元できることを疑われないようにするために、オンラインでの存在感を高めプレスリリースを書き潜在的な被害者にグループの名前が知られるようにしました。

しかし、このようなグループは裏でかなりの数の担当者が関与しており、ダークウェブのマーケットプレイスを介して互いにサービスを提供していることという事実を認識することが重要です。

ボットマスターやアカウント販売者は被害者のネットワーク内に最初のアクセスを提供する役割を担っており、他のメンバーは、この初期アクセス経路を利用して、ターゲットのネットワークに侵入します。この経路を利用して被害者に関する情報を収集し、内部文書を盗みます。

次に盗んだ文書は外部委託されたアナリストチームに転送され、ターゲットの実際の財務状況を把握し、支払えそうな最高額の身代金を設定します。

アナリストはまた脅迫に利用できそうな機密情報や犯罪情報にも着目します。その情報を利用することで意思決定者に最大限の圧力をかけることができるためです。

攻撃の準備が整ったらダークウェブの開発者からランサムウェア製品を購入し身代金の一部と交換します。

オプションの役割としてパッカー開発者がいます。パッカーはランサムウェアのプログラムに保護機能を追加してネットワーク全体を暗号化するのに必要な数時間の間、セキュリティ製品による検出を困難にすることができるように仕組みづくりをします。

最後に被害者との交渉はさらに別のチームが担当し身代金が支払われると、入手した暗号通貨をロンダリングするためにまったく新しいスキルが必要になります。

ここで重要な点は「ランサムウェアの連携」を構成するさまざまな担当者がそれぞれお互いを実際に知らないということです。

彼らは、インターネット上のハンドルネームを通じて互いに交流し、暗号通貨でサービスに対価を支払っています。

そのため各団体を逮捕しても、このエコシステムを減速させることはほとんどできません。

なぜなら共犯者の身元を知ることができず、すぐ他の供給者がその穴を埋めるからです。

ランサムウェアの世界はエコシステムとして理解される必要があります。

例えば、ランサムウェアの中でお金が循環しないようにすること、つまり、そもそも身代金を支払わないことなどを組織的に取り組むべき問題です。

先入観2:標的型ランサムウェアは標的型である

ランサムウェアグループは次に誰を狙うかを決めるためにFinancial Timesを熟読することはありません。

被害者のネットワークへの最初のアクセス権を得たグループがランサムウェアを展開するわけではなく、アクセス権の収集はまったく別のビジネスと考えるとよいです。

アクセス権の収集をビジネスとして成立させるためには販売者は安定した「商品」を必要とするため、フォーチュン500社のようなあらかじめ決められたハードターゲットに何週間もかけて侵入しようとするのは成功の保証がないため、経済的には意味がない可能性があります。

その代わりにアクセス権を提供する側の供給元は主に2つあります。

ボットネットのオーナー

ボットネットのオーナー(ボットマスター)は、被害者のマシンへのアクセス権を大量に販売します。

このアクセス権は、DDoS攻撃の組織化、スパムの配信など。ランサムウェアの場合はこの初期感染を通じて潜在的なターゲットへの足掛かりを得るなど、さまざまな方法で収益化することができます。

アクセス販売者

VPNアプライアンスやメールゲートウェイなどインターネットに公開したソフトウェアの脆弱性にハッカーが目を光らせています。

脆弱性が公開されると防御側が対応する更新プログラムを適用する前にできるだけ多くの影響を受けたサーバーを攻撃します。

いずれの場合も、誰に侵入したのか、そしてその感染が身代金の支払いにつながる可能性があるのかを把握するのは事後なことなのです。

ランサムウェアのエコシステムでは、特定の企業を狙うというターゲティングはほとんど行われていません。

この事実を理解することで企業はインターネットに接続するサービスをタイムリーに更新し、悪用される前に眠っている感染を検知する能力を持つことの重要性が理解できると思います。

アイデアその3:サイバー犯罪者は犯罪者である

確かに技術的には犯罪者ですが、ランサムウェアのエコシステムは多様性に富んでいるため、このエコシステムのすべてのメンバーが裏社会出身であるわけではないことは頭に置いておくべきです

APTの中にはライバル国の経済を不安定にするためにサイバー攻撃をおこおなうグループも存在します。

ランサムウェア攻撃が明らかに収益性が高いことから国際的な制裁を回避する方法として少数の国家が支援する脅威グループがこのエコシステムに参加しているとも言われています。

2020年10月1日米国財務省のOFACは攻撃者に資金を送金する企業は、受取人が国際的な制裁の対象となっていないことを確認する必要があることを明確にしたメモを発表しました。

#2に続きます

2021年のランサムウェア動向まとめ#2:ランサムウェアのすべてが売買されるダークマーケット

Comments

タイトルとURLをコピーしました