ランサムウェアとアクセス・ブローカー:地下でつながり利益を上げるグループたち – WithSecure

Ransomware Gangs Adopting Business-like Practices to Boost Profits

2023/05/30 InfoSecurity — WithSecure の最新のレポートから推察されるのは、ランサムウェア・ギャングが利益を上げるために、各種のビジネスライクな手法を採用している点であり、それにより個々のグループを判別することが、防御側にとって困難になっていることだ。 フィンランドで開催された Sphere23 において、WithSecure の Senior Threat Intelligence Analyst である Stephen Robinson は、このような合法的なビジネス手法を反映する動きは、TTPs (Tactics, Techniques and Procedures) が曖昧になっていることを示唆すると述べている。


たとえば、Conti や Hive のようなランサムウェア・ギャングが、近年においてシャットダウンされたのは喜ばしいことだ。しかし、その後に、Conti に似た TTP を用いるグループが、新たに出現している。つまり、一定の成功を収めた手法が、他の脅威アクターにより模倣されていることを示している。

いまの地下マーケットを構成するものとして挙げられるのは、RaaS (Ransomware-as-a-Service)/IAB (Initial Access Brokers) /CaaS (Cryptter-as-a-Service) /CryptoJacker/MaaS (Malware-as-a-Service) などに加えて、国家に支援された APT などの、さまざまな脅威アクター・グループである。

地下マーケットで入手できるツールを、国家に支援される APT が利用し、検知されることなくネットワークやシステムにアクセスしていることを、Robinson は指摘している。このような専門化が進むことにより、技術力や専門知識に乏しい脅威アクターであってもが、ユーザー組織を攻撃するためのリソースを利用できるようになる。

Robinson は、その活動量の多さから、IAB が取り扱う認証情報などのビジネスは産業化していると指摘している。

彼が事例として取り上げたのは、WithSecure が調査した、あるインシデントである。このインシデントは、それぞれの目的を持ち、それぞれのサイバー犯罪サービスを提供する、下記の5つの脅威アクターにより、ある組織が侵害されたというものだった:

  • Monti ランサムウェア・グループ
  • Qakbot MaaS
  • 8220 Gang (別名 Returned Libra) クリプトジャッキング・グループ
  • 無名の IAB
  • 北朝鮮の対外情報偵察総局に関連する APT である Lazarus Group のサブセット
価値が需要を生む

このような状況にもかかわらず、グループを識別することが難しくなってきていると、Robinson は指摘している。具体的に言うと、従来からの検知技術に影響が生じており、新しい考え方が、防御側にとって必要になってきているという。

Robinson は、「すべてのグループを、同じような脅威として扱い、どのようなグループであっても対応できるよう準備する必要がある。攻撃者にネットワークに侵入されてからでは手遅れであるため、不正アクセスを防ぐことが急務である。たまたま、あなたのサーバに侵入して、暗号解読ソフトを実行しようとした攻撃者が、あなたのビジネスの高い収益性に気づいたら、他の誰かに、そのアクセス権を売ってしまうかもしれない」と、Infosecurity に語っている。

彼は、「ダークウェブ上には、売上高 $100m の企業へのアクセスを購入したいと投稿する、脅威アクターが存在している。彼らが重視するのは、提供者が誰であるかではなく、そのアクセス権に、どれほどの価値があるかだ」と指摘している。

WithSecure が実施した、脅迫型のランサムウェア・グループによる、3,000 件以上のデータ侵害の分析結果では、最も被害者が多かったのは米国であり、その後にカナダ/英国/ドイツ/フランス/オーストラリアなどの国々が続いている。これらの国々の組織を合計すると、分析対象となった情報漏えいインシデントの4分の3程度となる。

最も影響を受けているのは建設業界であり、データ漏えいの19%を占めている。一方、自動車会社は約6%に留まっている。ターゲットとなる業界の分布は、ランサムウェア・グループにより異なる。建設/自動車以外の多くの業界は、この2つの間に位置しており、特定の業界や、複数の業界を、不規則に狙うグループも存在する。

ちょっと、論点が曖昧な記事ですが、Sphere23 というイベントでの講演内容をまとめたものという感じです。WithSecure のリンクを辿っていったら、The Professionalization of Cyber Crime という、かなり長編のレポートに行き当たりました。メアドなどの入力が不要の、簡単な操作で PDF がダウンロードできるので、サイバー犯罪に関する資料として、ストックしておくのも良いでしょう。