ランサムウエア集団にとって理想的な標的とは?

脅威インテリジェンスアナリスト  ヴィクトリア・キヴィレヴィッチ

2021年7月、KELAは、脅威アクターらがアクセスの買い取りを呼びかけるスレッドを立ち上げている状況を観察しました。立ち上げられたスレッドには、買い取りにあたっての希望条件なども記載されており、一部の脅威アクターらが情報窃取型マルウエアを展開したり、その他の不正行為を行う目的でアクセスを購入していることがうかがえました。そしてその一方で、他の脅威アクターらは、ランサムウエアをインストールしてデータを窃取することを目的としていました。そこで我々は、アクセスの買い取りを呼びかける脅威アクターらの中でも、特にランサムウエア集団にとって価値あるものとはいったい何であるのかを突き止めるべく調査を行い、「ランサムウエア集団にとって理想の標的」のプロファイルを作成しました。

今回の調査の要点は以下の通りです。

  • 2021年7月、KELAは、脅威アクターらが様々な種類のアクセスを買い取ると呼びかけているスレッドを48件発見しました。そのうち46%に該当するスレッドは7月中に作成されており、商品としてのアクセスに対して確実な需要がある状況を示唆しています。
  • アクセスの買い取りを呼びかけているアクターらの40%が、ランサムウエア・アズ・ア・サービス (RaaS)のサプライチェーンで活動しているオペレーターやアフィリエイト、仲介業者などであることが判明しました。
  • ランサムウエア集団は、理想とする標的の収益や地域を指定する一方で、特定の業界や国を攻撃対象から除外し、彼らなりの「業界基準」を確立していると思われます。2021年7月に活動していた脅威アクターらが買い取りを希望していたのは、概して収益1億ドル以上を有する米企業へのアクセスでした。ただし彼らの約半分は、医療・教育関連企業のアクセスについては買い取らない旨をスレッドに記載していました。
  • ランサムウエア集団は、最も基本的な買い取り商品としてRDPやVPNを悪用したアクセスを挙げているものの、あらゆる種類のネットワークアクセスを買い取りの対象としています。ネットワークへのアクセスに利用できる製品の中で、彼らがアクセスを買い取りたいと名を挙げていたのは、Citrix社やPalo Alto Networks社、VMware社、Fortinet社、Cisco社のソリューションでした。
  • アクセスにかける予算については、最高で10万米ドルまで支払うとしているランサムウエア集団もいますが、大半のランサムウエア集団は、その約半額となる5万6,250ドルを上限としています。
  • それぞれのランサムウエア集団が定めている標的の要件と、彼らが初期アクセス・ブローカーらに対して要求している商品(アクセス)や条件の内容には様々な共通点が見られます。これは、ビジネス社会と同じようにランサムウエア業界の活動においても、標準化の波が訪れていることを表しています。



脅威アクターらが欲しがるアクセスとは

今回、我々がアクセスの買い取りを呼びかけるスレッドを調査したところ、「2021年7月中に作成されたスレッド」と「同月時点で有効であったスレッド」の合計は48件となりました(「有効であったスレッド」とは、そのスレッドが作成されて以降、スレッドの作成者が少なくとも1回は更新を行っているスレッドを指します)。48件のスレッドの大半は7月中に作成されており、商品としてのアクセスに対するニーズが目覚ましい勢いで増加していることを表しています。そしてここで、2つの疑問が浮かび上がってきます。アクターはどういったアクセスを探し求めているのでしょうか。また、彼らの最終目標とはいったい何なのでしょうか?



最初に理解しておくべき重要なポイントとして、こういったスレッドを投稿した脅威アクターらが使っている「アクセス」という言葉は、必ずしもネットワークへのアクセスを指すものではないということが挙げられます。「アクセス」という言葉の定義は非常に曖昧であり、SQLインジェクションからWebシェル、RDPに至るまで、まさに様々な侵入ベクトルやエントリポイントを指して使われています。今回、我々がアクセスの買い取り目的で作成されたスレッドについて分析した結果、初期アクセス・ブローカーらが販売するネットワークの初期アクセス以外にも、オンラインショップの管理パネルや、セキュリティ保護されていないデータベース、Microsoft Exchangeサーバーなどへのアクセスが買い取りの対象となっていることが判明しました。いずれの種類のアクセスも、悪用されると危険であることに疑いの余地はなく、脅威アクターらの手に渡れば様々な不正行為に利用されるリスクがあります。それでもこういったアクセスの大半は、企業のネットワークへのアクセスとして使用できる類のものではありません。


サイバー犯罪フォーラム「XSS」と「 Exploit」に設置されているアクセス商品専用セクション


さらに我々は、アクセスの買い取りスレッドを作成した脅威アクターらのニーズ、そしてサイバー犯罪社会で繰り広げられている彼らの活動についても調査を行い、分析をすすめました。その結果、大抵の場合彼らの目的は、アクセスを使って情報窃取(情報窃取型マルウエアの展開やウェブサイトへの不正スクリプトの挿入など)や暗号通貨のマイニング、スパムメールやフィッシングメールのキャンペーンなど、あらゆる類の不正行為を実行することであったと判明しました。


某ユーザーが、シェルを不正行為で使用する方法について説明している投稿


某脅威アクターが、スニッファーの展開やスパム攻撃に悪用できるアクセスを探している投稿


しかしここで、ある脅威の存在が浮き彫りとなりました。分析対象となったスレッドのうち、約40%はランサムウエア・アズ・ア・サービス(RaaS)サプライチェーンに関与するアクターら(ランサムウエアオペレーターやアフィリエイト、仲介業者)によって作成されていたのです。ランサムウエアのオペレーションが拡大して成熟するにつれ、複数のランサムウエア集団が初期アクセス・ブローカーからアクセスを購入している状況が観察されています。そしてそのような状況の中で、アクセスの買い取りを呼びかけるという行為が、ランサムウエア集団と初期アクセス・ブローカーが出会い、協業する流れを後押ししています。例えば、「BlackMatter」や「Avos」などのランサムウエア集団にいたっては、インスタントメッセージツールの一種である「Jabber」を介してアクセスの買い取り広告を配信するといった活動も行っており、おそらくXSSやExploitのJabberサービスに登録したユーザー全員がそのメッセージを受け取っているものと思われます。その他、ランサムウエア集団「Crylock」の代表者が、アクセスを定期的に提供してくれる販売者を募集していると明記しているスレッドも確認されました。


ランサムウエア集団「BlackMatter」が、2つのフォーラムで初期アクセス・ブローカーを募集している投稿 。同様のメッセージがJabberでも送信されている


ランサムウエア集団「Crylock」が、アクセスの定期的な販売者を募集している投稿


ランサムウエア集団は、アクセスの販売者を募るメッセージを以前から投稿しており、こういったスレッドは昔から存在していました。しかしその「昔ながら」が存在する一方で、ランサムウエア・アズ・ア・サービス(RaaS)のエコシステムが成長して分業化が進むにつれ、彼らの業界にも標準化という新しいトレンドが生まれていることがうかがえます。また、「スムーズに攻撃を実行して身代金を手に入れることこそが、自分達のゴールである」と明確に理解している彼らは、もはやアクセスの買い取りを呼びかけるスレッドに「アクセスを購入します」といったシンプルな文章を掲載する代わりに、想定している被害者の特徴や購入したいアクセスの種類を綿密に記載するようになっています。我々は、どのような企業がランサムウエア集団の標的リストに入っているのかを明らかにすべく、その特徴や基準を調査しました。


ランサムウエア集団が初期アクセス・ブローカーらに課した要件

我々が以前のブログで、初期アクセス・ブローカーらの形成する価格モデルについて取り上げた際、ある程度は地理的要因も関係するものの、価格決定の主な要因は被害者となる企業の規模と収益であること、そして被害者のネットワークでの権限レベルによっても価格が変動することを解説しました(例えばドメイン管理者アカウントと、ユーザー権限しか持たない端末のアクセスの価格を比較した場合、ドメイン管理者アカウントは10倍もの価格で販売されています)。初期アクセス・ブローカーらは常に「顧客のニーズ」を追いかけてアクセスを収集しており、価格設定についてもそのニーズに基づいて行われていますが、この「顧客のニーズ」とは、ある意味「ランサムウエア集団のニーズ」でもあります。これを論理的に考えてみると、初期アクセス・ブローカーとランサムウエア集団がそれぞれ重視している被害者の特徴や基準は、同じものであるということになります。

一般的にランサムウエア集団が投稿している買い取り広告(スレッドやメッセージ)には、彼らが希望する被害者の特徴として以下の内容が記載されています。

  • 地理

アクセスを買い取るスレッドの多くは、希望する被害者の国や地域を指定しており、最も人気の高い国は米国(アクターらの47%が指定)となりました。それ以外に人気の高かった国としては、カナダ(37%)、オーストラリア(37%)、欧州諸国(31%)が挙げられます(ただし買い取りスレッドの大半は、標的として希望する国を1つに絞らず、複数国を挙げていました)。標的として人気を集めている国々はいずれも先進国ですが、その理由として、ランサムウエア集団は非常に裕福な企業を攻撃対象に選ぶ傾向があり、彼らの中ではそういった裕福な企業の大半が世界トップレベルの先進国に拠点を置いているものと考えていることが挙げられます。言い換えれば、特定の国々に標的としての人気が集中してはいるものの、実際には国そのものが標的を決める主要な要因ではないということです。実際、ランサムウエア集団「LockBit2.0」の代表者も、最近対応したインタビューの中で次のように語っていました。「標的とする企業の資本は大きければ大きいほど良い。標的がどの国や地域にあるかは関係ない。我々は相手が誰であろうと攻撃する。」



  • 収益

ランサムウエア集団が被害者の最低収益を記載している場合、その狙いは、概して十分な身代金を支払うだけの財力がない被害者を足切りすることにあります。ランサムウエア集団が標的に望む最低収益の平均額は1億米ドルですが、求める収益の額は地域によって変動すると語るランサムウエア集団もいます。例えば某脅威アクターは、標的の最低収益について「米国企業の場合は500万米ドル、欧州企業の場合は2,000万米ドル、第三世界諸国の場合は4,000万米ドルの収益があること」と、ある投稿の中で定義していました。


標的企業の収益及び国別に価格を設定している脅威アクターの投稿


  • 標的業界のブラックリスト

アクセスの買い取りスレッドそのものにも、ランサムウエア集団と、それ以外の分野を専門とするサイバー犯罪者達の間には大きな違いが見られます。ランサムウエア集団が投稿した買い取りスレッドの約半分には、「攻撃対象外とする業界」のリストが掲載されており、彼らが特定業界の企業についてはアクセスを買い取る意思がないことを意味しています。

調査対象となったランサムウエア集団のうち、47%が医療・教育機関(及び関連企業)へのアクセスを買い取り不可、37%が政府機関(及び関連企業)への不正アクセスを禁止、26%が非営利団体へのアクセスを買い取り不可と明記していました。ランサムウエア集団が、医療機関や非営利団体へのアクセスについて買い取りを禁じる背景には、主に彼らなりの道徳規範があるようです。教育業界を攻撃対象から外していることについては、同じく道徳規範がその理由となっている場合もありますが、単純に教育業界の機関や企業には高額の身代金を支払うだけの財力がないことが理由となっている場合もあります。また、政府機関(及び関連企業)を標的としないのは、法執行機関から余計な注目を集めないための予防措置です。


  • 標的国のブラックリスト

ランサムウエア集団は、一部の国々を攻撃の対象外としています。もはや驚くべきことではありませんが、ロシア語話者のハッカー達の間には昔から「ロシア語圏の国々を攻撃しないこと」というルールがあり、CIS(かつてソビエト社会主義共和国連邦を構成していた国々を中心メンバーとする独立国家共同体)はサイバー攻撃の対象外となっています。また、CISに拠点を置くサイバー犯罪者らは、CISの国々さえ攻撃しなければ、各国の現地当局が彼らを取り締まることはないであろうとも考えています。CISの他には、南米や第三世界の国々が「攻撃の対象外」として挙げられていますが、これについては金銭的利益を獲得できる見込みが薄いことが最も有力な理由として考えられます。


ランサムウエア集団がアクセスにかける予算

ランサムウエア集団は、最も基本的な買い取り商品としてRDPやVPNを悪用したアクセスを挙げながらも、標的にふさわしい企業のものであれば、どのような種類のネットワークアクセスでも買い取ると呼びかけています。ネットワークへのアクセスに利用できる製品の中で、彼らがアクセスを買い取りたい商品として名を挙げていたのは、Citrix社やPalo Alto Networks社(特にGlobalProtect VPN)、 VMware社 (特に ESXi)、Fortinet社、Cisco社の提供するソリューションでした。権限レベルについては、ドメイン管理者権限を希望すると記載している脅威アクターらもいるものの、必須の要件とはなっていないようです。


「Nefilim」のランサムウエア・オペレーションに関与している某脅威アクターの投稿。様々な種類のアクセスを買い取り対象として探している


それではランサムウエア集団は、標的とする企業へのアクセスに対して、いったいどれだけの金額を支払う用意があるのでしょうか?我々が調査を行った結果、アクセスに対して支払う金額は各ランサムウエア集団によって非常に幅があり、最低額は100米ドル、最高額は10万米ドルとなりました。さらに、ランサムウエア集団の提示する最低額と最高額について、それぞれ平均値を計算したところ、最低額の平均値は1,600米ドル、最高額の平均値は56,250米ドルとなりました。またランサムウエア集団の32%は、アクセスの購入時に代金を固定価格で支払うのではなく、攻撃が成功した場合に限り、身代金から一定の割合を支払うとしています。なお、KELAが以前行った調査から、初期アクセス・ブローカーらがアクセスの代金として受け取れる額は身代金の約10%程度であると思われます。

これまでのセクションでお伝えした通り、ランサムウエア集団が標的とする企業の要件、そして彼らが初期アクセス・ブローカーらに商品として求めるアクセスの内容やその条件には、それぞれ共通点が見られます。これは、私達の生きるビジネス社会と同じように、ランサムウエア業界の運営にも標準化の波が訪れていることを示唆しています。ランサムウエア集団は、攻撃してはならない業界や国のブラックリストを作成して「業界基準」を確立するとともに、標的の収益や地域を定義して、彼らにとって理想的な「商品」を提供してくれる脅威アクターらに競争力のある価格を提示しています。このように組織化されたサイバー犯罪に対抗するためには、ランサムウエア集団がその活動の外注先を探したり、パートナーや従業員を募集しているサイトから情報を入手するといった更なる取り組みが求められます。

 


企業ネットワークの防衛者がとるべき緩和策

サイバー犯罪フォーラムで販売されるアクセスへの需要は高まる一方であり、これまで以上に多くの脅威アクターらが、ネットワークやウェブサイト、ストレージなどのエントリポイントの買い取りを呼びかけるスレッドを投稿しています。この現象は、サイバー犯罪の中でも、とりわけ各分野の専門家に作業を依頼して攻撃を展開するランサムウエア・アズ・ア・サービス(RaaS)において、サービタイゼーションが進行していることの裏付けとも言えるものです。ただし、ここで皆さんにお伝えしておきたい重要なポイントがあります。それは、企業のネットワークのアクセスがサイバー犯罪者達の手に渡った場合、ランサムウエアを展開したりデータを窃取するためだけに使用されるとは限らないということです。ランサムウエア攻撃はもとより、その他の悪意あるキャンペーンにもアクセスを悪用される可能性があるのです。

企業のネットワークを防衛するIT部門やサイバーセキュリティ部門の皆様が様々な脅威に立ち向かうにあたっては、以下の3つの活動に投資することが求められます。

  1. 主要な利害関係者と従業員全員に対し、サイバーセキュリティについての啓蒙活動及びトレーニングを行い、主要メンバーが自分の資格情報や個人情報を安全に使用する方法について確実に理解できるようにします。サイバーセキュリティ・トレーニングについては、疑わしいアクティビティ(詐欺メールや、認証されていない個人又は電子メールアドレスから送信された異常なリクエストなど)を特定するための具体的な方法を明示することも必須です。
  2. 日常的に脆弱性を監視して適切にパッチを適用し、組織のネットワークインフラストラクチャを常時保護し、初期アクセス・ブローカーやその他のネットワーク侵入者による不正アクセスを防止します。
  3. 主要な資産に的を絞って自動モニタリング・ソリューションで監視することにより、アンダーグラウンドのサイバー犯罪エコシステムに台頭する脅威を即時に検出します。組織の資産をスケーラブルに常時自動監視することが、アタックサーフェス(攻撃対象領域)を常に最小限に抑えることに大きく貢献し、最終的にはサイバー攻撃の阻止へとつながります。


lumint.kelacyber.com では、ランサムウエア攻撃や、売り出されたネットワークアクセス、漏洩しているデータベースやデータダンプに関する最新情報をご覧いただけます。是非サブスクリプションにご登録ください。