2022 年第 3 四半期のランサムウエア被害組織とネットワークアクセスの販売状況

脅威インテリジェンスアナリスト サリット・ボロホヴ

 

2022年第3四半期(2022年7月-9月期)に、攻撃件数で上位にランクインしたランサムウエアグループ及びデータリークグループは、LockBit、 Black Basta、 Hive、 Alphv (別名BlackCat)、BianLianでした。うちBianLianは、比較的最近登場したランサムウエアグループです。また当第3四半期にランサムウエアグループ及びデータリークグループの標的となった業界の第1位は専門サービスであり、同業界に対する攻撃の55%は、LockBit、 Alphv、Hiveによる犯行でした。

2022年第3四半期にランサムウエアグループ及びデータリークグループの標的となった国の第1位は引き続き米国であり、当第3四半期における被害組織の40%は米国企業、その次に英国、フランス、ドイツ、スペインが続きました。また、Yanluowang、 BianLian、 0mega、 Daixin Team、 Donut Leaksなどのデータリークサイト及びランサムウエアブログが新たに登場していました。

KELAが、2022年第3四半期に売り出されたネットワークアクセスのうち570件超について追跡調査を行った結果、希望販売価格の合計額は約400万米ドルとなりました。また当第3四半期に売り出されたネットワークアクセスの平均価格は、約2,800米ドル、中央値は1,350米ドルとなりました。当第3四半期に売り出されたネットワークアクセスの総数については前期とほぼ同じ数字となりましたが、商品の価格はより高額になっていました。また、当第3四半期に売り出された商品のひと月あたり平均件数は約190件となり、前期比で微増となりました。

ディフェンダー・ イン・ザ・ミドル

脅威リサーチ部門長 ヴィクトリア・キヴィレヴィッチ

  • 先日Uber社とRockstar Games社で不正アクセスが発生したことを受け、KELAは、企業で使用されている資格情報が侵害され、その後それらの情報がサイバー犯罪のエコシステムで公開・売買されたことが発端となった攻撃について調査を行いました。
  • 今日のサイバー犯罪者は、情報窃取マルウエアを使って企業で使用されている資格情報を多数窃取し、それらの情報を自動ボットネットマーケット(GenesisやRussian Market、TwoEasyなど)で販売しています。企業を狙う脅威アクターは、このサイバー犯罪エコシステムのおかげで企業の資格情報を簡単に入手することが可能となっています
  • 一部の脅威アクターは、不正アクセスしたアカウントから現金を引出・送金するといった手口で簡単に金銭を窃取できる、銀行口座やECアカウントの資格情報を探しています。しかし、より頭の良い脅威アクターは組織を狙い、標的組織で使用されている資格情報を探しています。後者に該当する脅威アクターは、組織の資格情報を発見するコツについて情報交換を行い、サイバー犯罪のエコシステムを活用して数ドルで資格情報を購入しています。
  • 幸いなことに、ネットワークの防御者もサイバー犯罪エコシステムにアクセスして、攻撃を企てる脅威アクターと同じ情報を得ることができます。また、脅威インテリジェンスソリューションを活用して意図せず外部に公開されている自組織の資産を効果的に監視し、不要な露出を是正する、侵害されたデータをテイクダウンするといった対応を取り、アタックサーフェスを縮小することが可能となります。
  • 企業の直接的な資産に限定せず、サードパーティのサービスを活用したワークスペースについても注意することが重要です。Slackが、まさにこれに該当する1例です。弊社の調査では、既に各組織のワークスペース数千件が侵害されていることが判明しており、Electronic Arts社で発生したインシデントと同様の攻撃に悪用される可能性が懸念されます。
  • サイバー犯罪は、サービタイゼーション(「サービス」を商品として売買する行為)や売買プロセスの自動化、「商品」の可視性の向上を中心に進化し続けており、今後さらに多くの脅威アクターが、サイバー犯罪エコシステムを利用するようになると予想されます。

誕生から6カ月、BreachedはRaidForumsの後継となりえたのか?

脅威インテリジェンスアナリスト ヤエル キション

人気を博したサイバー犯罪フォーラム「RaidForums」が差し押さえの末に閉鎖されたことを受け、2022年3月14日、英語話者の集う新たなフォーラム「Breached(別名BreachForums)」が誕生しました。脅威アクター「pompompurin」がRaidForumsの代わりとして立ち上げたこのフォーラムは、RaidForumsと同じデザインで構成されており、大規模なデータベースのリーク情報やログイン資格情報、アダルトコンテンツ、ハッキングツールなどを提供する場となっています。

ここで、RaidForumsについて振り返ってみましょう。まずRaidForumsのドメインが米国当局によって差し押えられ、さらにその後の2022年1月下旬には、同フォーラムに関与していた有名な脅威アクター3人が逮捕されました。この時逮捕されたのは、同フォーラムの創設者であり管理者でもあった「Omnipotent」と、同じく管理者を務めていた「Jaw」と「moot」です。米国司法省は、Diogo Santos Coelho(別名Omnipotent)と名乗るポルトガル国籍の人物がRaidForumsの所有者であるとして、このCoelho氏を共謀、アクセス・デバイス詐欺、加重個人情報窃盗の罪で起訴しました。起訴状では、Coelho氏及び他2名の管理者(Jaw及びmoot)が、RaidForumsのソフトウエアとコンピューターインフラストラクチャを設計・管理してデータベース取引を助長していたとされています。

そしてこのRaidForumsが閉鎖されてわずか数週間後、その後継となる新たなフォーラムBreachedが誕生しました。Breachedは、立ち上げからわずか6カ月で新たなデータベース取引プラットフォームとしての地位を確立し、今や8万2,000人を超える登録ユーザーを擁する規模に成長しました。KELAは、本当にBreachedがRaidForumsの後継となり、最も人気の高いデータベース取引サイトになったのかを調査するとともに、同フォーラムにおけるトップアクターの活動や、そこに見られるトレンドについて分析しました。

ロスト・イン・トランスレーションが起こらない世界—サイバー犯罪者にとって言語が障壁とならない理由とは

最高研究責任者 イリーナ・ネステロヴスキー

KELAは、日々様々な企業や機関の皆様と出会い、連携して業務を行っています。それぞれの企業や機関の所在地(地域)や使用言語は多岐にわたりますが、皆様からは一様に「KELAはスペイン語やフランス語、アラビア語、その他あらゆる言語のサイバー犯罪ソースにも対応しているのですか?」との質問をいただきます。まずこの質問に対する答えは、「イエス(必ずしもイエスと言えない場合もありますが)」ですが、この答えの背景には「企業を狙う脅威が標的を選ぶ際、その標的企業がどれほど大きな(又は小さな)規模であろうと、そしてどの業界に属していようと、言語や地理を理由に選択肢を制限することはない」という現状があります。

企業やその顧客を狙うサイバー犯罪において特に興味深い点は、攻撃を実行する犯罪者が組織を脅かすのに、被害者(組織)の同胞である必要もなければ、被害者(組織)と同じ言語を話す必要もないということです。

ここで、有名なサイバー犯罪フォーラムをいくつか取り上げ、該当する事例をみていきましょう。サイバー犯罪フォーラムでは、様々なスキームについて議論が交わされ、ネットワークアクセスやデータベースをはじめとする「商品」が金銭的目的で取引されています。例えば、フォーラム「Exploit」や「XSS」はロシア語話者の脅威アクターが運営していますが、彼らが仲間の外国人サイバー犯罪者とやり取りする時は英語を使用しています。またこれらのフォーラムでは、ユーザー(サイバー犯罪者)の居住地に関係なく、世界中の企業をはじめとする様々な標的や被害者(組織)について議論が交わされています。そして我々が初期アクセス・ブローカーのトレンドを調査した結果でも、ネットワークアクセスを介して侵害された企業が多い国の第1位は今なお米国であり、その後に英国、ブラジル、カナダ、インドが続いています。

2022 年第 2 四半期のランサムウエア被害組織とネットワークアクセスの販売状況

KELA サイバー犯罪インテリジェンスセンター

ランサムウエアグループは引き続き進化を遂げ、世界中の組織や企業を脅かしています。2022年第2 四半期は、一部のグループにおいて活動量を減少する、または活動そのものを停止するといった動向が観察されましたが、その一方でBlack Basta をはじめとする新たなアクターが登場し、企業から金銭をゆすり取っていました。その他、データの窃取やデータリークサイトの運営といったランサムウエアグループの手口を模倣しながらも、実際の攻撃では暗号化ソフトウエアを使用していないアクターも登場しています。

ランサムウエアオペレーションやデータリークサイトを運営しているアクターにとっては、成長の一途をたどるサイバー犯罪エコシステムを活用することで、偵察フェーズや最初の不正アクセスフェースがさらに容易なものとなっています。そしてその中でも、企業のネットワークアクセスを販売している初期アクセス・ブローカー(IAB)は、ランサムウエアのサプライチェーンにおいて重要な役割を果たしています。アンダーグラウンドでネットワークアクセスの供給者となっている彼らを監視することは、ランサムウエア・アズ・ア・サービスのエコシステムの更なる理解につながると言えるでしょう。

本レポートでは、2022年第2四半期にKELAが監視したランサムウエアグループや初期アクセス・ブローカーの動向について解説します。

次世代の情報窃取マルウエア

KELAサイバーインテリジェンスセンター

近年、情報窃取型トロイの木馬は非常に人気の高い攻撃ベクトルとなっています。攻撃者は、情報窃取型トロイの木馬を使ってユーザー名やパスワードなどの「ログ」をはじめ、感染した端末に保存されている情報を窃取しており、窃取した後は「Russian Market」や「TwoEasy」、「Genesis」などの自動ボットネットマーケットや非公開の場でそれらの情報を販売しています。こういった「ログ」を脅威アクターに購入されてしまった場合、彼らが「ログ」の所有者の様々なリソースへアクセスすることが可能となり、組織にとってはデータ窃取やネットワーク内での水平移動、さらにはランサムウエアなどマルウエアの展開を実行されうる重大なリスクとなります。

サイバー犯罪フォーラムで宣伝されている情報窃取マルウエアのうち、アンダーグラウンドのマーケットプレイスで存在が確認されている人気の高い情報窃取マルウエアとしては、「RedLine」、「Raccoon」、「Vidar」が挙げられます。こういったいわゆる「コモディティタイプの情報窃取マルウエア」には依然として人気を維持しているものもありますが、KELAは、様々な条件下で情報窃取マルウエアの勢力図が変化しはじめていることを確認しました。地上の世界でロシアのウクライナ侵攻が続く中、アンダーグラウンドでは情報窃取マルウエアのオペレーターが自らのマルウエアの機能向上を迫られており、さらにそういった状況に金銭的動機が組み合わさった結果、新たな情報窃取マルウエアやサービスが誕生していました。

今回のレポートでは、現在活動している情報窃取マルウエアに焦点をあてるとともに、以前から存在していた情報窃取マルウエアの進化や、新たな情報窃取マルウエアの誕生について詳述します。

2022年第1四半期のランサムウエア被害組織とネットワークアクセス

脅威インテリジェンスアナリスト ヤエル キション

ランサムウエアグループは、2022年第1四半期も引き続き重大な脅威となりました。彼らは、初期アクセス・ブローカー(IAB)をはじめとする様々なサイバー犯罪者と協働し、世界中の企業を攻撃しようと企んでいたのです。KELAは、2022年第1四半期におけるランサムウエアグループや初期アクセス・ブローカーの活動を監視した結果、以下の洞察を得ることができました。

2022年第1四半期のランサムウエア被害組織の総数は、2021年第4四半期の982組織から40%減少して698組織となりました。また、最も活発に活動を展開していたグループも、2022年の初旬以降はContiからLockBitへと変化しました。ただし、Contiが行った攻撃の件数については2022年1月に減少傾向がみられたものの、同グループの内部データがリークされた後に再び増加へと転じました。

  • 金融セクターが受けた攻撃件数は46件に上り、標的とされる業界のトップ5にランクインしました。またそれら攻撃のうち40%は、LockBitに関連づけられました。
  • ランサムウエアグループは、被害組織の名称を明かさないまま自らのブログに掲載するといった、新たな脅迫方法を取り入れていました。
  • 2022年第1四半期に売りに出されたネットワークアクセス数は、2021年第4四半期からわずかに増加しました。我々がモニタリングしたアクセス商品の件数は、2021年第4四半期は468件、2022年第1四半期は521件超(希望販売価格の合計金額は110万ドル以上)となりました。
  • ネットワークアクセス商品が売りに出されてから買い取られるまでの販売サイクルは平均で75日となりました。

我々は、売り出されているネットワークアクセスのうち150件以上について、そのアクセスを所有している組織(被害組織)を特定し、またその一部についてはBlackByteやQuantum、Alphvが実行したランサムウエア攻撃と関連があったことを確認しました。これらを踏まえ、攻撃で使用されたネットワークアクセスを購入したのは、非常に高い確率でランサムウエアアフィリエイトであったと考えられます。

 

ロシアのウクライナ侵攻がもたらしたサ イバー犯罪社会情勢の変化

脅威インテリジェンスアナリスト  エリーナ コルドブスキー

ロシアとウクライナは長きにわたり緊張関係にありましたが、2022年2月24日、ついにロシア軍がウクライナに侵攻する事態となりました。この侵攻が始まる直前、ロシアのウラジミール・プーチン大統領は、ウクライナがネオナチによって統治されているとの誤った非難を展開していました。また彼は、NATOがロシアの国家安全保障に対する脅威を形成していると主張し、ウクライナの加盟を禁止するようNATOに要請していました。

このようなロシアの挙動をうけて、多くの国々はロシアが西側諸国の組織や企業に対してサイバー攻撃を仕掛けてくる可能性があると推測し、米国にいたっては、NATOがロシアのサイバー攻撃に備えることができるよう「セキュリティ担当機関の幹部」を派遣しました。しかしこういった予想に反して、ロシアが大規模なサイバー攻撃を実行することはなく、ウクライナや欧州の国々が懸念していた大規模なサイバー攻撃は、過度な心配であったことが明らかとなりました。それでもロシアはウクライナの政府機関やインフラ、電気通信企業、その他の組織に対し、大規模な攻撃の代わりにDDoS攻撃やワイパー攻撃を実行しています。一方ウクライナは、自国防衛を目的として有志による「IT軍」を立ち上げ、今日にいたるまで世界中のハクティビスト組織とともにロシアの企業や組織を攻撃しています。

そしてこういった変化の波は、アンダーグラウンドのサイバー犯罪社会にも訪れています。以前は存在していなかった新たな違法サービスが登場し、政治に無関心であったはずのサイバー犯罪フォーラムで戦争に関する議論が交わされ、ハクティビストがロシアの有名なランサムウエアグループのソースコードを使用してロシアの企業を攻撃するなど、もはやサイバー犯罪社会の情勢は、これまでとは大きく様変わりしています。

今回のレポートでは、ロシアのウクライナ侵攻により、アンダーグラウンドのサイバー犯罪社会に生じた様々な変化を検証します。サイバー犯罪社会における繊細な地政学を理解し、現実社会に生じた危機がアンダーグラウンドのサービスやビジネスチャンスにどのような影響を与え、新たなトレンドを生み出すのかを理解する一助としてご活用ください。

初期アクセスがランサムウエア攻撃にいたるまで—5つの事例

KELAサイバーインテリジェンスセンター

成功しているランサムウエア攻撃は、いずれも攻撃者が被害者に気付かれることなくネットワークへ侵入するところから始まっています。一部の攻撃者は、被害者組織のネットワークアクセスを秘密裡に入手していますが、サイバー犯罪フォーラムやマーケットで商品として販売されているアクセスを利用している攻撃者も存在します。

そういった「商品」の一部は初期アクセス・ブローカー販売しており、彼らはランサムウエア・アズ・ア・サービス(RaaS)エコノミーの中で重要な役割を果たしています。初期アクセス・ブローカーは、不正アクセス先の組織が所有するコンピューターへのリモートアクセス

(ネットワークへの初期アクセス)を販売しており、彼らの活動がネットワークへの侵入を著しく容易にしていると同時に、無作為に行われる場当たり的なキャンペーンを標的型攻撃につなげる役割を果たしています。またその一方で、ランサムウエアアクターも理想的な被害者像に合致するネットワークアクセスを求めて、サイバー犯罪フォーラムの商品を積極的にチェックしています。

今回のレポートでは、商品として売り出されたネットワークアクセスが攻撃の発端となり、またそのアクセス販売開始から1 カ月以内にランサムウエア攻撃が開始された事例を数件取り上げて解説します。

KELA logo

Beware. Ransomware. 2021年に確認されたランサムウエアのトップトレンド

エグゼクティブサマリー

2021年においてもランサムウエア攻撃は、世界中の企業や組織を脅かす脅威
の中でも最も注目を集めました。重要なインフラストラクチャ(Colonial
Pipeline社)や食品加工産業(JBS Foods社)、保険(CNA社)をはじめとす
る多数の業界で大規模なランサムウエア攻撃が展開され、被害者となった
企業は業務の一時停止を余儀なくされました。またそれらの攻撃を受けて、
ランサムウエアグループに対する法執行機関の圧力が激しさを増しています
が、その一方でランサムウエア攻撃に従事する脅威アクターも進化を続けて
います。彼らはその技術をより洗練させると同時に、成長するサイバー犯罪
エコシステムを広範に活用して、自らのオペレーションに利用できる新たな
パートナーやサービス、ツールを模索しています。
本レポートでは、2021年に確認されたランサムウエア攻撃の被害者となった
組織についてKELAの知見を詳述するとともに、ランサムウエアグループの
活動(攻撃やサイバー犯罪フォーラムでの活動状況)をまとめました。また、
ランサムウエアアクターとその他のサイバー犯罪者たちの協力関係に関する
独自の調査結果も記載しております。