2021年のランサムウェア動向まとめ#2：ランサムウェアのすべてが売買されるダークマーケット

セキュリティ企業のカスペルスキーは2021年のランサムウェア動向をまとめたレポートを発表しました。

Ransomware world in 2021: who, how and why

In this report, we take a step back from the day-to-day ransomware news cycle and follow the ripples back into the heart...

securelist.com

こちらでは、サイバー犯罪で利用される情報の売買が行われるダークマーケットについて解説しています。

サイバー犯罪を行うためのツールやサービスの販売は、ほとんどが大規模なプラットフォームに集約されています。一つのカテゴリーや製品に焦点を当てたテーマ別の小規模なものが複数存在しています。

ランサムウェア関連のカテゴリーが集約されているダークフォーラムは、ランサムウェアを扱うサイバー犯罪者がコミュニケーションをとり、取引を行うプラットフォームです。

これらのフォーラムでは何百ものさまざまな広告や依頼が掲載されていますが、これらの広告はソースコードの販売から定期的に更新される募集広告までさまざまな依頼が含まれており、英語とロシア語で提供されていることが多いです。

サイバー犯罪の依頼内容について

＃１で説明したようにランサムウェア攻撃のしくみは、さまざまな役割にプレイヤーが別れており、複数人で構成されています。

2021年のランサムウェア動向まとめ#1：ランサムウェアの間違った先入観

ダークネットフォーラムは、この分業制度を反映したものになりますが、ここでの出稿される広告は主に販売または募集を目的としています。

ランサムウェアの開発者や、アフィリエイトのランサムウェアプログラム（Ransomware as a Serviceとして知られている）の運営者は、以下のようなものを提供しており、

• パートナーネットワークへの招待、ランサムウェア運営者向けのアフィリエイトパートナープログラム
• ランサムウェアのソースコードやランサムウェア開発者の広告

１つ目はランサムウェア・グループの運営者とパートナーの間に長期にわたるパートナーシップがあることを前提としています。

通常ランサムウェア攻撃で得られた身代金は、ランサムウェアの運営者が20%～40%、残りの60～80%はパートナーが得ることが通常です。

パートナープログラムの支払い条件を記載したオファーの例

投稿日: 7月4日
活動拡大のために、下記作業を募集します。

スパム
Dedikam（デジカメ）とネットワーク
ドアトラフィックと稼働中のもの

我々は個人集団です。募集枠に限りがあり、面接の準備をしてインストール作業品質の証拠を証明してください。

我々はテストサイトではありませんし「学習者」や「やってみます/やってみます」という方には何もしてもらうことはありません。

我々は数年前から活動しており、5年以上ニュースなどになっています。ソフトウェアは動作するものであり、すぐに使用できます。

以下ルールを抜粋

1.CIS（ウクライナを含む）に対しては禁止されています。

2.開始時は取り分60％。3回の支払いの後、70％に増額

多くのランサムウェア事業者はパートナーを募集していますが、中にはランサムウェアのソースコードやDIY（Do-it-Yourself）ランサムウェアパッケージを販売しているところもあります。このような製品は３万円〜５０万円（300米ドルから5000米ドル）の範囲で提供されています。

ランサムウェアのソースコードの販売や流出したデータの販売は、犯罪者が作業に投資した労力を現金化できる最も簡単な方法ですが、ソースコードやサンプルはすぐに価値が下がってしまうため、このようなカテゴリーは最も儲からないカテゴリーでもあるようです。

ランサムウェアソフトウェアには、サポート付きとサポートなしの2種類があり、サポートなしでランサムウェアを購入した場合サイバーセキュリティ・ソリューションに検知されてしまうと購入者はランサムウェアを再パッケージ化する方法を自分で考えるか、サンプルの再パッケージ化を行うサービスを探す必要があります。

サポート付きプログラムは、通常定期的なアップデートを提供しています。サポート付きプログラムは、金融マルウェア市場ではより広く普及しているものになっています。

この点においてダークネットフォーラムの広告内容は2017年と比べてあまり変わっていません。

ダークネットでは見られない大手企業の存在

ダークフォーラムで提供されている広告の数は確かに少なくありませんが、このダークフォーラムだけでランサムウェアのシステム全体を反映しているわけではありません。

大規模なランサムウェアグループの中には、独立して活動しているものや直接パートナーを見つけて活動しているものがあります

（例えば、RyukはTrickbotに感染させられた被害者のシステムの一部にアクセスしており、これは2つのグループ間のパートナーシップの可能性を示唆しています）

そのため、ダークフォーラムには中規模のRaaS事業者、ソースコードを販売する小規模な事業者や初心者などの小規模なプレーヤーが多く参加しています。

ダークネットにおけるパートナーシップの基本ルール

ランサムウェア市場は閉鎖的な市場であり、事業者は誰と組むかを慎重に判断しています。これは事業者が掲載する広告やパートナーを選ぶ際の基準に反映されており、一般的なルールは事業者に課せられた地理的な制限があります。

マルウェアの運営者がパートナーと協力する場合、運営者が拠点とする管轄区域でマルウェアを使用することは避ける傾向にあります。

このルールは厳格に守られており、これを守らないパートナーはプログラムへのアクセス権を失うとされています。

さらに運営者はパートナー候補を選別して、運営者がターゲットにしている国に関する知識をチェックすることで潜入捜査官を雇う可能性を減らしています。また、政治的見解に基づいて特定の国籍に制限を加えることもあります。

英語圏のユーザーと一緒に業務を行うことは厳禁です。また、ルズケハルシャール語を持っている人とも同様です。

エージェント・スミスは、あなたのためとコミュニケーションしたいと強く希望しており、また我々と一緒に業務の原則とその方法論を学ぶことを望んでいます。

もちろんFBIやその他の情報機関にはロシア語を上手に話せる人もいますが、ネイティブスピーカーのレベルではないことは確かです。

UA、BU、KZ、RFの歴史に関する質問やググっても出てこないようなものでチェックします。