ダークウェブはますます暗くなる – ランサムウェアは違法な市場で繁栄する

サイバー犯罪集団が違法なサイバー犯罪市場でマルウェア、フィッシング、およびランサムウェアツールを購入することが増えているため、ダークウェブはますます暗くなっています。

2022 年 4 月、米国財務省はロシアに本拠を置く Hydra Market を認可しました。世界最大のダークウェブ市場である Hydra は、悪意のあるサイバー犯罪と暗号通貨交換サービスを世界の脅威アクターに提供しました。米国とドイツはほぼ同時期に Hydra を閉鎖しました。

ダーク Web で活動するランサムウェアグループは、何百人ものハッカーを雇用し、数億ドルの収益を上げています。さらに、時間の経過とともに何十億もの不正資金を生み出す可能性があります。

2022 年、研究者は475 ページのランサムウェアコードがダークウェブで販売されていることを発見しました。 DarkSide や GoldenEye ランサムウェアアズアサービス (RaaS) を含む 30 種類のランサムウェアが、これらの製品の中で利用可能でした。

スクリプトキディやハッキングの経験のない人々を含む攻撃者は、Ransomware-as-a-Service (RaaS) 操作に参加して、被害者を簡単に強要し始めています。

2022 年、攻撃者はランサムウェア攻撃のためにRaaSに参加することを好みました。これは、プライベートランサムウェアよりも自由度が高く、迅速に展開できる傾向があるためです。

Table of contents

RaaS の売買の仕組み
RaaS の台頭が 2023 年のサイバー犯罪に与える影響
RaaS 攻撃の増加に対する防御
エンドユーザー資格情報のエントリポイントのロックダウン

RaaS の売買の仕組み

RaaS に参加するためのコストは、マルウェアが与える損害と、被害者から多額の支払いを引き出すことを考慮すると、低額です。

たとえば、Venafi は、犯罪者のハッカーが Colonial Pipeline を閉鎖するために使用したのと同じランサムウェアである DarkSide のカスタマイズされたバージョンが、ダーク Web で 1,262 ドルで販売されたと報告しました。

RaaS ソリューション、関連するソースコード、カスタムビルドの RaaS サービスは、ビットコインなどの暗号通貨を使用して、ダーク Web で直接販売されます。このようなニッチな企業にとって、これらの RaaS サービスはますます正当化されてきており、サブスクリプションパッケージ、ユーザー向けの説明、技術サポートが含まれているものもあります。

これらのタイプの操作に関与する攻撃者は、多くの場合、初期アクセスブローカー (IAB) からネットワークへのアクセスを購入します。初期アクセスには、Citrix、 Microsoft RDP 、Pulse Secure VPN などのアクセスツールを開く盗まれた資格情報が含まれます。

犯罪者は、フィッシングやブルートフォース攻撃によってパスワード自体を収集するよりも、侵害された資格情報を購入する方が簡単です。

RaaS の台頭が 2023 年のサイバー犯罪に与える影響

予測によると、Ransomware-as-a-Service の運用は 2023 年に強化されることが示されています。これは、より効率的なデータ抽出のために運用を調整し、アフィリエイトが漏洩サイトにデータを公開して支払いを行わない組織を恥じさせるのに役立つためです。

今年は、ランサムウェアインシデントの 72% が、サイバーセキュリティエンジニアがこれまでに一度しか見たことのない亜種を使用していました。

独自の斬新なランサムウェア攻撃の傾向は 2023 年も続くでしょう。IAB、RaaS グループ、および関連会社は、さまざまなアクセスツールのロックを解除する侵害されたユーザー資格情報を含む、初期アクセスのトランザクションを増加させるでしょう。

RaaS 攻撃の増加に対する防御

ランサムウェアに対する解決策は、多層サイバーセキュリティ防御を使用することです。ランサムウェア攻撃に対する多層防御には、データセキュリティ、エンドポイントセキュリティ、およびゲートウェイベースのセキュリティソリューションが含まれます。

データセキュリティ

データセキュリティは、外部のセグメント化されたネットワークとデバイスにバックアップを提供するため、運用データを暗号化するランサムウェアはバックアップに到達できません。

エンドポイントセキュリティ

エンドポイントセキュリティは、ユーザーデバイスを強化します。 NISTなどの組織は、コンピューターとスマートフォンの安全な構成を提供しています。エンドポイントセキュリティソリューションは、動作ベースのマルウェア対策およびフィッシング対策と、悪意のあるユーザーによる不正な変更に対するランサムウェア保護を組み合わせています。

ゲートウェイのセキュリティ

ゲートウェイセキュリティは、ユーザーとネットワークをランサムウェアから保護します。セキュリティゲートウェイは、ランサムウェア攻撃が使用する暗号化されたデータを検査します。セキュリティゲートウェイは、ランサムウェアがネットワークに出入りするのを検出してブロックできます。

エンドユーザー資格情報のエントリポイントのロックダウン

ほとんどのサイバー攻撃は、エンドユーザーの資格情報をネットワークエントリポイントとして使用します。ランサムウェアグループは、侵害された資格情報を IAB から購入して、ランサムウェア攻撃でネットワークへの初期アクセスを取得します。

安全なパスワードポリシーを展開することで、組織は安全なパスワードを選択して使用することで、ユーザーがランサムウェアに支配される役割を果たせるように支援できます。

Specops パスワードポリシーは、侵害されたパスワード保護を使用して、初期アクセスのために IAB がランサムウェアグループや関連会社に販売するパスワードを含む、30 億を超える既知の侵害されたパスワードをブロックします。

Specops パスワードポリシーは、オープンソースと RDP ハニーポットからのライブ攻撃データを使用して、違反リストを継続的に更新します。

Specops Softwareによる後援および執筆