RaaS ギャングとアクセス・ブローカーの緊密な関係:深化するエコシステムを追跡

Access Brokers and Ransomware-as-a-Service Gangs Tighten Relationships

2022/06/02 SecurityWeek — ここ数年、ダークウェブ・ウォッチャーたちは、サイバー犯罪集団の専門性の高まりに注目している。脅威アクターたちは、利益を最大化するための業務の効率化という目的のもとに、うまく組織化されている。アクセス・ブローカーと Ransomware-as-a-Service (RaaS) グループがより密接な関係になっていることは、明らかな進展である。

アナリストたちも、この展開に注目しており、脅威情報会社 Intel 471 は最初のレポートで、「アクセス・ブローカーと RaaS グループの関係はますます深まっている」と述べている。

このレポートに登場するアクセス・ブローカーとは、クレデンシャル・ブローカーのことである。Intel 471 の Greg Otto は、SecurityWeek の取材に対して、「彼らは、世界中の組織に存在する IT スタック認証情報の取得に特化しており、サイバー犯罪のアンダーグラウンドで最高額の入札者に対して、そのアクセス権を販売している。彼らは RaaS ギャングになりつつある」と述べている。

アクセス・ブローカーの体系としては、発見したバックドアや、パッチ未適用の脆弱性、RDP アクセスなどを取り扱う分野があるようだ。しかし、このレポートでは、近年において成長しているクレデンシャル・ブローカーとの、特定の RaaS グループの提携の進展に焦点を当てていく。

RaaS グループとアクセス・ブローカーが密接な関係を築くことで、彼らのビジネスに明らかな利点が生じる。ランサムウェアのオペレーターは、アクセスとマルウェアの両方を提供するアフィリエイトに対して、より良いサービスを提供できるようになる。それにより、プロセス短縮/身代金パーセンテージの増加/待ち時間の短縮などが実現され、彼らの売上高は増加していく。さらに関係が強化されると、RaaS グループがターゲットを特定し、アクセス・ブローカーによるアクセスが可能になった時点で、必要な情報が提供されるようになる。

アクセス・ブローカーは、RaaS グループとの独占的な関係を構築することで、アンダーグラウンド・フォーラムでの公開オークションから撤退し、隠れた暗号チャネルを介した販売事業が可能となる。法執行機関の活動により、フォーラムへの監視が強化される中で、このようなベールが追加されることは、アクセス・ブローカーにとって歓迎すべきことだ。

クレデンシャル・ブローカーは、あらゆるソースから商品を入手するための努力を惜しまない。彼らは、独自のフィッシング・キャンペーンを行うかもしれないし、他のフィッシャーと関係を持っているかもしれない。インフォスティーラー ( infostealer-as-a-service という選択もある) を運営するかもしれないし、インフォスティーラー・ギャングとの関係を持っているかもしれない。いずれにせよ、一度入手したクレデンシャル情報は、アンダーグラウンド・フォーラムの商品となる。

研究者たちは、Jupiter/Neptune/Saturn という、3つのアクティブなブローカーに注目している。Jupiter が提供している 1,195 件のクレデンシャルと、 Avaddon/Black Cat/Pysa/Mespinoza といった RaaS グループによる攻撃が、合致していることも確認されている。

Neptune は 2020 年から活動しており、2021年には 「複数のアンダーグラウンド・フォーラムをまたいで、マルウェア・ログ・ベンダーから直接入手した」とされる、1,146 件のアクセス・リストをアップしている。その後に、研究者たちは、ランサムウェアの被害者サイトで標的にされた 24 の組織を、このリストで検出/確認したと述べている。そのうち 14件は、Pysa/Mespinoza に関連するものだったという。

Neptune は、2022年に入ってから、すでに 1,303 件のクレデンシャル情報をリストアップしている。その後の、ランサムウェア攻撃と結びつきを示す証拠は無いが、今後において、そうなる可能性は高いと思われる。しかし研究者たちは、Neptune が Citrix や VPN アクセスの収益化を目指す、他の脅威アクターとの長期的な協力/提携を模索している様子が見られると指摘している。

研究者たちは、「イニシャル・アクセスの広告が、アンダーグラウンド・フォーラムで一般的になるにつれて、ランサムウェアのオペレーターたちは、著名で信頼できる脅威アクターを募集し、協力関係を結ぶようになる可能性が高い。同時に、ネットワーク・アクセス・ブローカーは、非常に活発なランサムウェアのアフィリエイト・プログラムに直接オファーを出すことで、時間と労力を節約できることを認識し始めるだろう」と述べている。

RaaS グループとアクセス・ブローカーとの協力関係が、強化されていくのは必然である。現時点において、ブローカーによりクレデンシャル情報がリストアップされている企業は、ランサムウェア攻撃の脅威が高まっていると認識する必要がある。しかし、脅威アクターたちの関係が深まるにつれて、このような兆候は減少していくだろう。もはやブローカーたちは、自身の製品を宣伝する必要はなく、顧客とのダイレクトな暗号通信へと移行するようになる。

ダークウェブの存在は犯罪であり、違法でもあるのですが、防御側が攻撃側の動向を把握する指標にもなり得るわけです。しかし、この記事にあるように、RaaS ギャングとアクセス・ブローカーが緊密に連携し、それらの関係自体がさらに深いところに潜ってしまうと、動向の把握が難しくなってしまいます。5月19日の「Conti ランサムウェアの解体と分散化:リブランドの状況と背景を探ってみた」では、Conti がシンジケート化して、これまでよりも、もっと深いところへ潜っていくかもしれないと解説されています。攻撃/防御だけではなく、潜伏/追跡のステージも、変化し続けていくようです。なお、この記事の元データである、Intel 471 の Initial Access Offers Ransomware Incidents は、お勧めのレポートです。

%d bloggers like this: