Hive は1ヶ月で7億円も稼いでいる:メジャー・ランサムウェアの仲間入り?

Hive ransomware enters big league with hundreds breached in four months

2021/12/16 BleepingComputer — ランサムウェア Hive は、そのリーク・サイトに記載されている以上に活発で攻撃的な組織であり、この組織の存在が明らかになった6月下旬からは、毎日の平均で3社の企業が攻撃を受けている。セキュリティ研究者たちは、Hive の管理者パネルからダイレクトに情報を収集し、4ヶ月間で 350以上の組織が侵入されてることを確認した。

現時点での Hive データ・リーク・サイトには、身代金を支払わなかった企業として、55社だけが掲載されていることから、このランサムウェアの被害者の多くが身代金を支払ったと考えられる。控えめに見積もっても、Hive ランサムウェア・ギャングは、10月〜11月に数百万ドルの利益を上げているはずだ。

パートナーの募集

Hive ランサムウェアは、6月下旬に登場してから、様々な分野の企業を標的としている。そのリーク・サイトに掲載されている、未払いの被害者の大半は中小企業だが、数億ドルの収入があると評価されている大企業のファイルも公開されている。
ある情報筋が BleepingComputer に語ったところによると、バージニア州の Division of Legislative Automated Systems (DLAS) に対する最近の攻撃の背後にも、Hive ランサムウェアが存在しているらしい。しかし、その情報を独自に確認することはできなかった。

サイバー・セキュリティ企業である Group-IB のアナリストが、Ransomware as a Service (RaaS) である Hive の活動を調査した結果、このグループは最も攻撃的なグループの1つであり、そのアフィリエイトは10月16日までに、少なくとも 355社に攻撃を仕掛けていることが分かった。

このグループによる最初の攻撃として知られているのは、6月23日にカナダの IT 企業である Altus Group に対して行われたものだ。その時点では、Hive が他のサイバー犯罪者に対してオープンな、RaaS オペレーターであるかどうかは不明だった。

9月の初旬に、評判の良いランサムウェア・プログラムに関するスレッドで、このグループが kkk と名乗るユーザーを通じて、すでに企業ネットワークにアクセスできるパートナーを探していると返信したことで、事態は明らかになった。このメッセージには、身代金の分配についての詳細が含まれており。アフィリエイトが 80% で開発者が 20% になっていた。

また、Group-IB の研究者が撮影した自己破壊メモの中でも、同じユーザーがファイル暗号化マルウェアに関する技術情報を提供していた。kkk は、自分が代表を務める RaaS の名前を挙げていなかったが、研究者によると、提供された技術的な詳細情報から、この脅威アクターが Hive ランサムウェアを指していることは明らかだとされる。

ランサムウェア Hive カーテンの裏側

Group-IB は、ランサムウェア Hive の管理画面にアクセスし、その操作方法に関する情報収集を開始した。ランサムウェアのディプロイと被害者との交渉が、可能な限り簡単で透明性の高いものになるように、開発者は全て設定したようだ。アフィリエイトは、長くても 15分ほどで、自身のマルウェア・バージョンの生成が可能であり、被害者との交渉は Hive ランサムウェアの Admin を介して行われ、Admin アフィリエイトが確認できるチャット・ウィンドウで被害者にメッセージを伝えていた。

身代金を支払うと復号化ソフトが提供されるが、一部の企業からは、このツールが正常に動作せず、仮想マシンのマスター・ブート・レコードが破損して、起動できなくなるという苦情が寄せられている。Group-IB は、BleepingComputer と共有したレポートの中で、ランサムウェア Hive の管理画面では、アフィリエイトが稼いだ金額や、支払った企業とデータが流出した企業の名前が表示され、ターゲットとなる企業のプロファイル保存が可能だと指摘している。

研究者たちが発見したのは、すべてのアフィリエイトが、Hive ランサムウェアのデータベースにある企業 ID にアクセスできることだが、それは稀有なことである。さらに、管理パネルとリーク・サイトは、API を介して実行されていた。Group-IB によると、この API は、他の2つのランサムウェア・グループである、Grief と DoppelPaymer が用いていたものらしい。この API を詳しく調べたところ、Hive によるランサムウェアの全攻撃に関する情報が得られる、システムとしてのエラーが発見された。それにより、これらの攻撃者に対して、何社の企業が支払いを行ったかを把握きた。

研究者の評価によると、10月16日までに 355の組織が脅威にさらされ、104の被害者が攻撃者と交渉した。API を通じて入手した企業データを分析した結果、被害者の数は1カ月以内に 72% ほど増加していたようだ。9月16日の時点では、被害企業に関連するレコード数は 181件だったが、1ヵ月後の10月16日には 312件に増加していた。注目すべきは、9月に被害企業としてリストアップされた 43社が、10月に身代金を支払った後に、API から姿を消していることだ。

被害者から搾取した金額については、Group-IB は BleepingComputer に対して、10月から11月にかけて、少なくとも $6.5 million に達したと推定される。最近に Group-IB が発表した Corporansom: threat number one というレポートによると、ランサムウェア・ビジネスに関する調査では、被害者の約30%が脅威アクターに対する支払いを選択しているとのことだ。当初み考えられていたよりも、活発に活動しているにもかかわらず、Hive ランサムウェアは一般的な初期侵害の方法に依存しており、具体的には以下のようなものになる。

  • 脆弱な RDP サーバ
  • 漏洩した VPN 認証情報
  • 悪意の添付ファイルを含むフィッシング・メール

    また、攻撃者は、大半のランサムウェア攻撃に見られるように、就業時間外や週末に暗号化段階の攻撃を展開している。

誰もが Log4j に目を奪われるという状況だと思いますが、それはランサムウェア・ギャングたちにとって、別の意味のチャンスなのでしょう。この Hive の荒稼ぎぶりをみると、そんなふうに思ってしまいます。Hive に関しては、10月29日に「Hive ランサムウェアによる暗号化:Linux と FreeBSD がターゲットに追加」を、11月8日に「欧州最大の家電量販店 MediaMarkt が Hive ランサムウェアに攻撃されている」をポストしています。よろしければ、ご参照ください。

%d bloggers like this: