DragonForceとして知られる1つのギャングが、カルテルのような構造の下に他のオペレーションを集めようとしている。
DragonForceは現在、分散型アフィリエイト・ブランディング・モデルでランサムウェア・アクターにインセンティブを与え、他のransomware-as-a-service(RaaS)オペレーションに、インフラのメンテナンス・コストや労力を扱うことなくビジネスを遂行する手段を提供している。
あるグループの代表者は、彼らは純粋に金銭的な動機で動いているが、道徳的なコンパスにも従っており、特定の医療機関を攻撃することには反対だと語った。
通常、RaaS事業には独自の関連会社やパートナーが存在し、ランサムウェア開発者はファイル暗号化マルウェアとインフラを提供する。
アフィリエイトは暗号化パッケージの亜種を構築し、被害者のネットワークを侵害し、ランサムウェアを展開する。彼らは復号化キーも管理し、通常は被害者と身代金の支払いを交渉する。
開発者はまた、いわゆるデータ・リーク・サイト(DLS)を管理し、攻撃者に支払いをしなかった被害者から盗んだ情報を公開している。
開発者は、自社のマルウェアとインフラを使用する代わりに、受け取った身代金から通常最大30%の手数料をアフィリエイトに請求する。
DragonForceのランサムウェアビジネス
DragonForceは現在、自らを「ランサムウェア・カルテル」と呼び、支払われた身代金の20%を受け取っている。
このモデルでは、アフィリエイトはインフラ(交渉ツール、盗まれたデータのストレージ、マルウェアの管理)へのアクセスを取得し、DragonForceの暗号化ツールを独自のブランドで使用する。
同グループは3月に “新しい方向性 “を発表し、アフィリエイトは “すでに実績のあるパートナーの支援の下、独自のブランド “を作ることができると述べた。
以下の投稿にあるように、DragonForce は、ESXi、NAS、BSD および Windows システムをターゲットとすることができる “無制限のブランド” を管理することを目指している。
ソースはこちら:Secureworks
DragonForceは、アフィリエイトがDragonForceブランドまたは別のブランドで攻撃を展開することを選択できる、マーケットプレイスのような構造であると語った。
基本的に、脅威行為者のグループはサービスを利用し、自分たちのブランドであるかのように見えるように、自分たちの名前でホワイトラベルを付けることができる。
その見返りとして、彼らはデータ漏洩や交渉サイトの運営、マルウェアの開発、交渉の処理に頭を悩ませる必要はない。
しかし、守るべきルールがあり、アフィリエイトは最初の不手際で追い出される。「私たちはルールを尊重する誠実なパートナーです。
「彼らはルールに従わなければならないし、私たちが運営するものはすべて私たちのサーバー上にあるので、私たちはそれをコントロールすることができる。
しかし、これらのルールは、新たに提案されたランサムウェアのビジネスモデルを採用する脅威行為者のみが利用できる。
DragonForceは、病院や医療機関が立入禁止になっているかという質問に対して、すべては病院の種類によると答え、共感とも言える感情を示した。
「我々は癌患者や心臓に関連するものは攻撃しない。私たちはビジネスとお金のためにここにいる。私は人を殺すためにここに来たわけではないし、私のパートナーもそうしなかった」と脅威の行為者は語った。
サイバーセキュリティ企業Secureworksの研究者は、DragonForceのモデルはより幅広いアフィリエイターにアピールし、技術力の低い脅威行為者を引き付ける可能性があると言う。
「洗練された脅威行為者であっても、独自のインフラを構築・維持することなく、独自のマルウェアを展開できる柔軟性を評価するかもしれない。
アフィリエイトを増やすことで、DragonForceは提案するモデルの柔軟性により、より大きな利益を見込むことができる。
どれだけのランサムウェアのアフィリエイトが新しいサービスモデルについてDragonForceカルテルにコンタクトを取ったかは不明だが、脅威行為者は、メンバーリストには有名なギャングが含まれていると述べた。
「正確な数は言えませんが、皆さんがよく記事にしているような、私たちと協力したいというプレイヤーが来ています」とDragonForceは語った。
RansomBayと呼ばれる新しいランサムウェアギャングの1つは、すでにDragonForceのモデルに加入している。
Comments