ランサムウェア集団の新たな収益化スキームとマーケティング手法の進化

脅威インテリジェンスアナリスト ヴィクトリア・キヴィレヴィッチ

現在、ランサムウェア攻撃に対する身代金の平均支払額は178,254ドル相当であり、2020年第一四半期の平均支払額から60パーセント増加しています。また。身代金の支払総額も増加しており、その要因として、ランサムウェアオペレーターの攻撃件数自体が増加していることに加え、彼らが被害者を脅迫し、悪意ある活動を収益化する手法を新たに開発していることが挙げられます。彼らの新たなTTP(戦術、技術、手順)には以下の活動が含まれています。

  • データの窃取と身代金の要求
  • 他のランサムウェア組織との協働
  • 窃取データを使った他の被害者への攻撃
  • 窃取データのオークション販売
  • 報道機関や被害者のパートナー企業、顧客に対する情報漏えいの通知
  • クレジットカード情報の窃取

 

MazeやSodinokibi (REvil)などの悪名高いランサムウェア犯罪集団はもとより、知名度が低く二番手といえるNetwalker、Ragnar Locker、Akoやその他の集団も新たな戦術を採用しています。

KELAは、これらランサムウェア集団のブログを定期的に監視しており、毎週新たに10から20の被害者(企業、組織等含む)が掲載されていることを確認していますが、彼らは身代金を支払わなかった被害者だけをブログに掲載しているため、実際の被害者の数はさらに多いであろうことがうかがえます。また、サイバー犯罪者らと連携した結果、ブログに掲載されなかった被害者も存在します。

次のセクションでは、より多くの利益獲得を狙うにあたって、ランサムウェアオペレーターがどのように自らのスキームを多様化し、被害者に対する脅迫行為に関連した「マーケティング活動」を実施しているのかに焦点を当てます。

初期アクセス・ブローカーの知られざる人生

プロダクト・マネージャー ラビード・レイブ 脅威インテリジェンスアナリスト ヴィクトリア・キヴィレヴィッチ

  • 先日ZDNetは、サイバー犯罪コミュニティに投稿されたリーク情報について独占記事を掲載しました。リークされた情報には、脅威アクターが窃取したエンタープライズ用Secure Pulseサーバー900台以上に関する詳細情報と資格情報が含まれていました
  • 今回リークされた情報は、いかにランサムウェアのリスクが拡大しているかを物語っています。KELAはそのリークの内容、リーク事件の発端を作った脅威アクター、リーク情報の流布に関与した脅威アクターについて深く掘り下げて調査を行いました。
  • 今回の短期的調査では、中間層に属するサイバー犯罪アクターである初期アクセス・ブローカーに焦点を置きました。彼らは、様々なソースからネットワークへの初期アクセスを入手して選別し、より大規模なネットワークアクセスに育て上げた後、それらのアクセスをランサムウェア・アフェリエイトに販売することを専門として活動しています。
  • アフェリエイト型ランサムウェアのネットワークが人気を集め、巨大企業はもとより規模の小さな企業にも影響が及ぶ中で、初期アクセス・ブローカーはアフェリエイト型ランサムウェアのサプライチェーンの中で急速に重要な存在となりつつあります。
  • 今回リークされたリストは、サイバー犯罪フォーラムを利用する複数の初期アクセス・ブローカーの間で回覧されていたと思われます。そして今回、彼らのようなアクターをプロとはみなさないLockBitのアフェリエイトがリストを公開しました。
  • 今回のレポートでは、サイバー犯罪コミュニティで交わされている幅広い情報をご紹介するとともに、サイバーインテリジェンスの専門家の視点から、的を絞ってスケーラブルにアンダーグラウンドのコミュニティを監視することの重要性をお伝えします。

教育セクターにおけるサイバー犯罪の増加

脅威インテリジェンスアナリスト ヴィクトリア・キヴィレヴィッチ マーケティングコンテンツマネージャー  シャロン・ビトン

この3件は、過去2か月の間に教育セクターで発生した主要なサイバー犯罪の見出しです。

大学のデータ Blackbaudへのランサムウェア攻撃により損失

カリフォルニア大学 ランサムウェア攻撃を受け身代金100万ドルを支払い

ヨーク大学 データ侵害により職員及び生徒の情報が盗まれたことを公表

これらは氷山の一角であり、この一年間でサイバー攻撃を受けた教育機関の数は増加傾向にあります。K-12 Cyber Incident Map (全米の公立幼稚園~高校で報告されたサイバーセキュリティ関連インシデントを可視化した資料)によると、2019年だけで348校がサイバー攻撃を受けています。これは米国の学校(大学を除く)のみを対象とした数値ですが、その数は今後ますます増加することが予想されます。

こういった状況から、以下の疑問が浮かび上がってきます。

  • アンダーグラウンドの脅威アクター達は、教育セクターの組織を調査し攻撃の標的とすることに関心を持っているのか?
  • 教育セクターを標的とする攻撃の種類は?
  • アンダーグラウンドのエコシステムで最近未遂に終わった攻撃は?
  • 未遂に終わった攻撃は、大学そのものを狙った標的型攻撃であったのか?それとも大学が利用するサードパーティ・プロバイダーを介してさらにその先にある組織を狙った攻撃であったのか?

我々は、このブログ全体を通じてこれらの問いに対する答えを明らかにしていきます。