RaaS (Ransomware-as-a-Service) のエコシステムを解析する

Why RaaS Has Become Easier to Launch

2021/07/30 SecurityBoulevard — Intel 471 の研究者から、組織内のサイバー・セキュリティ・チームに向けたヒントが届いた。サイバー犯罪者が何を学び、どのように行動しているのかを積極的に把握することで、セキュリティ・ニーズに対する解決策を見出すことができる。犯罪者たちが容易に攻撃を仕掛けられるのは、私たちが日常的に目にしているものを、巧妙に組み合わせているからだ。つまり、日常的に見られるような、技術的なノウハウを持った人々が増えていることが前提にあり、そこに緻密なビジネス・モデルが組み合わさっている。

サイバー犯罪者のアンダー・グラウンドには、短期間で技術を磨き、セキュリティ・ギャップがある場所を研究し、利益を最大化するために為すべきことを学んだ人々が集まっている。もし、サイバー・セキュリティ業界だけが、迅速かつ徹底的に人材を育成できるのであれば、スキルを持った労働者が不足することはなく、また、アンダー・グラウンドとのギャップも広がらないはずだ。

1つ目の方法は、ランサムウェアのコードを再利用するというもので、ソフトウェア開発の世界で行われていることを模倣している。開発者は、過去のバージョンを基に、より効率的かつ効果的に動作する、改良版を作り出す能力を持っている。たとえば、Babuk は RaaS (ransomware-as-a-service) 型ランサムウェアの一例であり、Microsoft Windows System / VMware ESXi Hypervisor / Intel x86/ARM NAS を対象とした、暗号化ツールと復号ツールのペアを生成することが確認されている。

研究者たちは、「Babuk は自身のアフィリエイト・プログラムの外で、独自のランサムウェア・キャンペーンを開始し、そこに低レベルの脅威アクターが飛びついた。情報を盗むためのマルウェア Vidar を使用しているオペレーターたちが、ビルダーにより生成された Babuk ランサムウェア亜種のインストールを目的として、ダウンロードして実行のタスクを、1ヶ月も経たないうちにボットに発行した」と述べている。また、Intel 471 は、Conti ランサムウェアのコードと、感染した Windows ホストにバックドア・アクセスを与える BazarLoader のコードに、複数の類似点があることを発見した。

2つ目の方法は、サイバー犯罪者たちが共通の脆弱性 (CVE) 悪用することで、ランサムウェアの成功が後押されるというものだ。研究者たちは、「サイバー犯罪者は、他の誰よりも CVE に注目しており、組織が脆弱性の解消を遅らせれば、攻撃のためのアクセス権を苦労せずに得られことを熟知している」と述べている。なお、ランサムウェア FiveHands が悪用している脆弱性は、SonicWall のバッファ・オーバーフロー、VMware vSphere Client のリモートコード実行、Microsoft のPrintNightmare 問題などであり、世界中の組織で継続して侵害が発生している。

3つ目の方法は、サービスとしてのランサムウェアを、犯罪者が販売する点にある。研究者たちの説明によると、「いまの攻撃者たちは、最初のランサムウェア攻撃によりロックを解除した公開資産に向けて、二重恐喝攻撃、悪評ブログ、DDoS 攻撃などを仕掛けることで、より多くの問題を引き起こそうとしている。それを実現するために、RaaS ギャングたちは、ランサムウェア攻撃の寿命を延ばす方法に詳しい、サイバー犯罪を支える専門家たちと協力する」という状況にあるようだ。

米国の Colonial Pipeline に対して、DarkSide ランサムウェアが攻撃を行い、その後に活動を停止するまで、そこで働いていたという、ある脅威アクターの話がある。彼は、DarkSide の被害者に対して、活動を停止する6週間前から DDoS 攻撃を仕掛けていたという。また、この脅威アクターは、常に 10 から 20 のターゲットに DDoS 攻撃を仕掛けており、その期間は 1日から21日まであったという。被害者が身代金を支払うたびに、彼は $500〜$7,000 を稼いでいたらしい。彼はベテランではなく、この1月にサイバー犯罪フォーラムに参加したばかりである。そこから僅か6カ月で能力を示し、悪名高い DarkSide ランサムウェアに取り入り、この組織が活動を停止するまでの間に、数万ドルとも言われる身代金を稼ぎ出した。

Intel 471 の CISO である Brandon Hoffman は、「サイバー・ハイジーン (衛生) に重点を置くことで、これらの攻撃の多くを防ぐことができ、また、攻撃が成功した場合の被害を軽減することができる」と述べている。彼は、攻撃される対象を減らし、もぎ取りやすい果実にならないために、以下のことに注力よう提案している。

・Backups
・Updating software and operating systems
・Monitor for and patch CVEs
・Logging and alerting suspicious events
・User permissions
・Strong email filters
・Strong password policy
・Use of 2FA or other devices (Yubikeys)
・Third-party monitoring
・Block/blacklist indicators of compromise (IOCs)

政府組織や公的機関は、ポリシーの設定および、攻撃を受けた被害者の支援において役割を果たす。しかし、官民の役割は複雑だ。Hoffman は、「身代金の支払いは違法であるという方針を示すだけでは、ランサムウェアの被害に遭っている企業の助けにはならない。また、外交に関して、最近の政府がとった政策のいくつかは良いものだが、サイバー犯罪者を匿っている国に対して圧力をかけるためには、より多くのことを実施する要がある。

政府は、ランサムウェア組織を調査し、停止に追い込むために、より積極的な姿勢をとることができる。それは政治的に困難なシナリオであり、必要なことを実施するだけと言うほど、単純なものではないだろう。民間企業は、成功と失敗を理解するために情報を共有し、お互いに学び合いながら、協力し続ける必要がある。情報漏えいの被害に遭ったことを恥じる時代は、過去のものであると願っている。私たちが透明性のある形で協力できるようになるまで、今後の攻撃を防ぐために必要な学びは、得られないままになる」と述べている。

このブログを始めて、かれこれ4ヶ月が経ちました。この間、たくさんの新しい単語を目にしてきましたが、その中で最も刺さったのは この RaaS (Ransomware-as-a-Service) です。言われてみれば、いちばん合理的な考え方で、また、経済的なソリューションなのです。この記事に結びつくものとしては、① のコード再利用ところでは、「DarkSide / REvil の後継者だと主張する BlackMatter ランサムウェアが登場した」がありますし、② の特定の CVE のところでは、「FBI 警告:この2年間の最凶脆弱性 Top-12」などがあります。③ のダークウェブ系に関しては、ちょっと面白そうな記事を見つけましたので、お楽しみに。

%d bloggers like this: