ランサムウェアが好む企業:地域/規模/業種などを分析する

Ransomware gangs target companies using these criteria

2021/09/06 BleepingComputer — 最近のランサムウェア・ギャングは、ダークウェブのマーケット・プレイスや他の脅威アクターから、標的のネットワークへのアクセス権を購入するケースを増やしている。こうした取引を仲介する広告を分析することで、どのような企業をランサムウェアが攻撃対象としているのかを知ることができる。

ランサムウェア・ギャングが、サイバー攻撃を行うとき、最初に必要となるのは、企業のネットワークにアクセスしてランサムウェアを展開することだ。ランサムウェア・ギャングは、攻撃により莫大な利益を得るため、自力でターゲットを見つけて侵入するのではなく、イニシャル・アクセス・ブローカー (IAB : Initial Access Brokers) を介して、攻撃に値するだけの価値のあるターゲットに、アクセスするための権利を購入するのが一般的だとされる。

IAB とは、サイバー犯罪者に対して、ブルートフォースや、エクスプロイト、フィッシングなどで、ネットワークに侵入するためのアクセス権を販売する、新たな脅威の担い手のことである。サイバー・セキュリティ・インテリジェンス企業である KELA は、ランサムウェア・ギャングの広告を調査した結果として、大規模エンタープライズを標的とする、サーバー攻撃の対象を選定するための基準をまとめた。

特定の企業を狙う

KELA は、7月に作成された 48件のフォーラムへの投稿を分析した。その中には、ネットワークへのアクセス権を購入しようとする脅威アクターたちがいた。研究者によると、これらの広告の 40% は、ランサムウェア・ギャングに協力する人々により作成されているとのことだ。これらの広告には、ランサムウェアの実行者が求める標的の条件として、エンタープライズの所在地/業種/予算などが記載されている。

たとえば、ランサムウェア BlackMatter による募集広告では、米国/カナダ/オーストラリア/英国を中心に、収益が $100 million 以上のターゲットを探していると記載されている。そして、こうしたターゲットへのアクセス権を得るために、募集広告などに $3,000〜$100,000 の対価を支払うと記載している。

KELA の研究者たちは、脅威アクターが作成した 20件近い投稿から、ランサムウェア・ギャングが求めるものを分析した結果、以下のような特徴を持つ企業が狙われていることを突き止めた。

地理的条件:ランサムウェア・ギャングは、米国/カナダ/オーストラリア/ヨーロッパに所在するターゲットを好む。依頼の大半は、被害者の希望する場所について言及しており、米国が最も人気のある選択肢であり、47% が言及していた。そのほかでは、カナダ (37%)、オーストラリア (37%)、ヨーロッパ諸国 (31%) などが上位に並んでいる。KELA のレポートによると、「ほとんどの広告には、複数の国々が対象として含まれている」とのことだ。このように、地理的な焦点が当てられている背景には、最も裕福な企業を脅威アクターが選んでいることがあり、また、それらの企業が先進国に位置していることがある。

収益:KELA によると、ランサムウェア・ギャングが希望する、標的企業の最低収益は $100 million となる。しかし、この要因は、被害者の地理的な位置により変化する可能性がある。KELA の説明によると、「たとえば、米国は 5 million 以上、ヨーロッパは 20 million 以上、第三世界は 40 million 以上という公式があるようだ」とされる。

ブラックリスト分野:医療機関を避けているというギャングもいるが、その他の業種については、あまりこだわりがない。しかし、Colonial Pipeline や、Metropolitan Police Department、JBS への攻撃の後に、多くのランサムウェア・ギャングは、特定分野を避けるようになった。ランサムウェア攻撃者の 47% は、医療と教育の分野のアクセス権は購入しなかった。37% 政府機関へのアクセス権を拒否し、26% は非営利団体などへのアクセスを購入しないと述べている。

脅威アクターがヘルスケアや非営利産業のオファーを断るのは、モラルコードによる可能性が高い。教育分野のオファーを拒否するのも同じ理由であり、さらに、教育機関には多額の身代金を支払う余裕がないという現実もある。最後に、脅威アクターが政府系企業を標的にすることを拒否するのは、法執行機関からの注目を避けようとする予防策である。

ブラックリストの国々:大規模なランサムウェアでは、独立国家共同体 (Commonwealth of Independent States) に所在する企業への攻撃が、特に避けられている。なぜなら、これらの国々を標的にしなければ、現地の警察当局から追跡される恐れがないと考えているからだ。これらのブラックリスト国家には、ロシア/ウクライナ/モルドバ/ベラルーシ/キルギスタン/カザフスタン/アルメニア/タジキスタン/トルクメニスタン/ウズベキスタンなどが含まれている。

ただし、残念ながら、上記の各基準を満たしていなくても、その企業が安全であるとは限らない。Dharma / STOP / Globe などの、数多くのランサムウェア・ギャングは、あまり選り好みをしないため、誰もが標的にされる可能性がある。さらに、これらのギャングは、上記の特徴を持つターゲットを好むとはいえ、単独でネットワークに侵入する可能を持つ。BleepingComputer は、DarkSide / REvil / BlackMatter / LockBit などのランサムウェア・ギャングが、小規模な企業をターゲットにして、より少額の身代金を要求する様子を、よく目にしている。

たしかに、Colonial PipelineMetropolitan Police DepartmentJBS の後、社会インフラや政府組織などへの攻撃が下火になってきています。その一方で、「REvil ランサムウェアが姿をくらましたが理由は不明」という話もあり、また、「DarkSide / REvil の後継者だと主張する BlackMatter ランサムウェアが登場した」という話もあります。ランサムウェア・ギャングたちは、加納な限り安全で高収益の案件を選んでいくのでしょう。それにしても、最初にアクセスを成功させ、それを販売する IAB : Initial Access Brokers という職種があるとは、ちょっと驚きでした。

%d bloggers like this: