KELA logo

Beware. Ransomware. 2021年に確認されたランサムウエアのトップトレンド

エグゼクティブサマリー

2021年においてもランサムウエア攻撃は、世界中の企業や組織を脅かす脅威
の中でも最も注目を集めました。重要なインフラストラクチャ(Colonial
Pipeline社)や食品加工産業(JBS Foods社)、保険(CNA社)をはじめとす
る多数の業界で大規模なランサムウエア攻撃が展開され、被害者となった
企業は業務の一時停止を余儀なくされました。またそれらの攻撃を受けて、
ランサムウエアグループに対する法執行機関の圧力が激しさを増しています
が、その一方でランサムウエア攻撃に従事する脅威アクターも進化を続けて
います。彼らはその技術をより洗練させると同時に、成長するサイバー犯罪
エコシステムを広範に活用して、自らのオペレーションに利用できる新たな
パートナーやサービス、ツールを模索しています。
本レポートでは、2021年に確認されたランサムウエア攻撃の被害者となった
組織についてKELAの知見を詳述するとともに、ランサムウエアグループの
活動(攻撃やサイバー犯罪フォーラムでの活動状況)をまとめました。また、
ランサムウエアアクターとその他のサイバー犯罪者たちの協力関係に関する
独自の調査結果も記載しております。

KELA logo

Contiから流出した 内部データの分析

ランサムウエアグループContiが、ロシアのウクライナ侵攻を支持する声明を発表しました。これを受けて2022年2月27日、ウクライナ人研究者と思われる人物が、同グループのメンバー間で交わされたやり取りをリークしました。KELAはこのグループの進化とTTP(戦術、技術、手順)、組織体制を理解するべく、このリーク情報を分析しました。
主な調査結果:

  • リークされたグループ内のやり取りから、当初は特定のランサムウエアグループに所属していなかったランサムウエア攻撃者たちの集団が進化していった流れが明らかとなりました。彼らは様々なランサムウエアを扱っており、RyukやConti、Mazeをそれぞれ別個のプロジェクトとして話し合っていました。そして彼らの活動が、最終的に現在のContiのオペレーションを形成するにいたりました。
  • Contiは様々なマルウエアやツールを使用していました。我々は、ContiとTrickBotやEmotet、BazarBackdoor(初期アクセスを入手するために使用)に強いつながりがあったことを裏付ける証拠を発見しました。またランサムウエアDiavolは、Contiの「サイドプロジェクト(本業とは別のプロジェクト)であると思われます。合法ツールについては、ContiがVMware CarbonBlackやSophosの製品をテストしようとしていたことが明らかとなりました。
  • Contiは、初期アクセス・ブローカーのサービスを利用して初期アクセスを入手していました。
  • リークされた会話の中では、約100の被害者(組織)が言及されていましたが、Contiのブログではその約半分が公開されていませんでした。この点を調査する中で、ランサムウエア展開前後の様々なステップをはじめとする攻撃プロセスが明らかとなりました。
  • Contiのメンバーは、米国の公的セクターを攻撃することに興味を示していました。
  • Contiのグループは高度に組織化されており、ハッカー、コーダー、テスター、リバースエンジニアリングスペシャリスト、クリプター、OSINTスペシャリスト、交渉者、ITサポート、HRなどのチームで構成されています。
  • KELAは、アクターの上位15人(やり取りされたメッセージの件数に基づく)に関する詳細な説明と、彼らの相関図を作成しました。

完全に信用できるアクターなど存在しない― ソース検証の重要性

KELAサイバーインテリジェンスセンター

ランサムウエアブログのリストに掲載される被害者の数は、過去数年間で劇的に増加しています。また攻撃者たちの間で「二重恐喝」戦術が普及した現在、企業はコンピューターのロックを解除することに加え、データの公開を阻止するためにも金銭を支払わざるをえない状況に直面しています。KELAは、ランサムウエアグループのブログを定期的に監視しており、そこではランサムウエア攻撃を受けた被害者の名前やデータが公開されています。一方で、必ずしもランサムウエアを使用しているわけではないものの、同様のリークサイトを運営しているアクターも存在します。彼らは別の侵入方法を使ってデータを窃取し、そのデータを外部に公表する(または第三者に販売する)と言って被害者を恐喝することもあれば、他の攻撃者が窃取したデータを再販することもあります。さらには、過去のリーク情報や実際には存在しないリーク情報を使って詐欺とも呼べる恐喝行為を行うアクターも存在します。

こういった「オファー」の存在は、サイバーセキュリティ情勢に直接的な影響を及ぼすとともに広範にわたってノイズを生成し、サイバー脅威研究者が真の脅威に焦点を絞る上での妨げとなります。つまり、我々がソースを注意深く監視してあらゆる情報を額面通りに受け止める前に、まずソースそのものを検証することが非常に重要であるということです。今回のブログでは、我々が新たなソースを検証し、脅威のレベルを評価する方法について、以下のサイトを取り上げながら解説してゆきます。

  • Amigos
  • Coomingproject
  • Dark Leaks Market
  • Quantum
  • Groove

人気上昇中のログマーケット「2easy」

KELAサイバーインテリジェンスセンター

KELAは、アンダーグラウンドのサイバー犯罪社会に広がるコミュニティやマーケットを継続的に監視しています。そして最近その監視活動の中で、攻撃者が窃取したユーザー情報を売買するマーケット「2easy」の活動が、さらに活発さを増していることを発見しました。2easyはアンダーグラウンドの中でも比較的新しいマーケットであり、自動化されたプラットフォームでサービスを提供しています。そこでは様々な脅威アクターが世界中のマシン(ボット)から収集したログ(データやブラウザに保存された情報)が売買されており、今日では約60万台のボットから収集された情報が同マーケットで売り出されています。

KELAがそのテクノロジーを駆使して2easyからデータを収集し、分析した結果、2021年12月時点で同マーケットに「情報窃取型マルウエアが収集したログ」を提供する販売者が18人存在することが明らかとなりました。また、この分析作業で特定された販売者がアンダーグラウンドのサイバー犯罪社会で他にどのような活動を行っているのか、そして様々なサイバー犯罪サイトでは2easyについてどのようなフィードバックが投稿されているのかを調査した結果、資格情報を売買するサイバー犯罪者の大半が2easyについて肯定的な評価を投稿しており、彼らの間で同マーケットが一定の認知度を得ていることが判明しました。これらの調査結果をふまえ、KELAは2easyで販売されている資格情報の大半は有効であり、組織に直接的な脅威をもたらす可能性があるものであると評価します。また我々が2easyを分析した結果、売り出されているログの情報源となったマシンの50%以上がRedLineに感染しており、同マーケットの販売者の間では情報窃取型マルウエア「RedLine」が最も人気を博していることが判明しました。

ランサムウエア集団にとって理想的な標的とは?

脅威インテリジェンスアナリスト  ヴィクトリア・キヴィレヴィッチ

2021年7月、KELAは、脅威アクターらがアクセスの買い取りを呼びかけるスレッドを立ち上げている状況を観察しました。立ち上げられたスレッドには、買い取りにあたっての希望条件なども記載されており、一部の脅威アクターらが情報窃取型マルウエアを展開したり、その他の不正行為を行う目的でアクセスを購入していることがうかがえました。そしてその一方で、他の脅威アクターらは、ランサムウエアをインストールしてデータを窃取することを目的としていました。そこで我々は、アクセスの買い取りを呼びかける脅威アクターらの中でも、特にランサムウエア集団にとって価値あるものとはいったい何であるのかを突き止めるべく調査を行い、「ランサムウエア集団にとって理想の標的」のプロファイルを作成しました。

今回の調査の要点は以下の通りです。

  • 2021年7月、KELAは、脅威アクターらが様々な種類のアクセスを買い取ると呼びかけているスレッドを48件発見しました。そのうち46%に該当するスレッドは7月中に作成されており、商品としてのアクセスに対して確実な需要がある状況を示唆しています。
  • アクセスの買い取りを呼びかけているアクターらの40%が、ランサムウエア・アズ・ア・サービス (RaaS)のサプライチェーンで活動しているオペレーターやアフィリエイト、仲介業者などであることが判明しました。
  • ランサムウエア集団は、理想とする標的の収益や地域を指定する一方で、特定の業界や国を攻撃対象から除外し、彼らなりの「業界基準」を確立していると思われます。2021年7月に活動していた脅威アクターらが買い取りを希望していたのは、概して収益1億ドル以上を有する米企業へのアクセスでした。ただし彼らの約半分は、医療・教育関連企業のアクセスについては買い取らない旨をスレッドに記載していました。
  • ランサムウエア集団は、最も基本的な買い取り商品としてRDPやVPNを悪用したアクセスを挙げているものの、あらゆる種類のネットワークアクセスを買い取りの対象としています。ネットワークへのアクセスに利用できる製品の中で、彼らがアクセスを買い取りたいと名を挙げていたのは、Citrix社やPalo Alto Networks社、VMware社、Fortinet社、Cisco社のソリューションでした。
  • アクセスにかける予算については、最高で10万米ドルまで支払うとしているランサムウエア集団もいますが、大半のランサムウエア集団は、その約半額となる5万6,250ドルを上限としています。
  • それぞれのランサムウエア集団が定めている標的の要件と、彼らが初期アクセス・ブローカーらに対して要求している商品(アクセス)や条件の内容には様々な共通点が見られます。これは、ビジネス社会と同じようにランサムウエア業界の活動においても、標準化の波が訪れていることを表しています。

初期アクセス・ブローカーの間に生まれた5つのトレンド

脅威インテリジェンスアナリスト  ヴィクトリア・キヴィレヴィッチ

KELAは、過去1年以上にわたって初期アクセス・ブローカーの動向と、彼らがアンダーグラウンドのサイバー犯罪フォーラムに売り出したネットワークへの初期アクセスについて追跡調査を行ってきました。「初期アクセス」とは、不正アクセスを受けた組織が使用しているコンピュータへのリモートアクセスを意味する用語です。そして、そういったアクセスを販売する脅威アクターは「初期アクセス・ブローカー」と呼ばれています。初期アクセス・ブローカーは、場当たり的にキャンペーン(作戦活動)を展開して組織や企業のネットワークを侵害し、ネットワーク内にあるコンピュータへのリモートアクセスを窃取して、アンダーグラウンドで販売しています。その買い手には、ランサムウエアオペレーターをはじめとする標的型攻撃の実行者達も多く含まれており、販売されている初期アクセスを利用することで、彼らにとってもネットワークへの侵入が非常にたやすい作業となっています。つまり、初期アクセス・ブローカーは、ランサムウエア・アズ・ア・サービス (RaaS)エコノミーにおいて今や重要な役割を果たす存在となっているのです。

今回の調査では、初期アクセス・ブローカーの動向と、2020年7月1日から2021年6月30日までの1年間における彼らの活動を観察し、詳細な分析を行いました。そして我々は、初期アクセス・ブローカーの果たす役割がアンダーグラウンドのサイバー犯罪業界でさらなる人気を集め始めたこの1年間における彼らの活動を分析し、その分析を通じて発見した5つの主要なトレンドを本レポートにまとめました。

「オーシャンズ11」化するランサムウエア集団達

KELA脅威インテリジェンスアナリスト  ヴィクトリア・キヴィレヴィッチ

かつて、アンダーグラウンドに広がるサイバー犯罪のエコシステムは、攻撃の最初から最後までの全プロセスを自らの手で実行するサイバー犯罪者達の住処となっていました。しかし、彼らが繰り広げていた「ワンマンショー」は今やサイバー犯罪業界から消滅しつつあり、その一方で、様々なニッチ領域を専門に手掛ける「専門職」とも呼べるサイバー犯罪者達がその存在感を高めつつあります。この変化は、今やサイバー犯罪業界の中で最も顕著なトレンドの一つであると言えるでしょう。例えば一般的なサイバー攻撃のプロセスを検証してみると、すべての攻撃者達が攻撃の各ステージを実行するだけのノウハウを、必ずしも持ち合わせているわけではないということがわかります。

  • コーディング(必要な機能をコーディング、又は必要な機能を備えたマルウエアを入手)
  • 拡散(標的とする被害者の感染)
  • 抽出(感染した端末へのアクセス確保・維持)
  • 収益化(攻撃による利益の獲得)

DARKBEASTを使って初期アクセス・ブローカーをハントダウンする方法

KELAサイバーインテリジェンスセンター

昨年は、初期アクセス・ブローカーらが多大な努力を払い、多数の成功を収めました。そしてそんな彼らの功績が、ランサムウェア・アフィリエイトやオペレーターらのネットワーク侵害におけるハードルを大きく引き下げたとして、初期アクセス・ブローカーに注目が集まりました。彼らは、アンダーグラウンドに形成されたサイバー犯罪のエコシステムの中で、さらに活発に活動を展開してその名を広め、人気を博しています。今回のブログでは、DARKBEASTを使うことによってそういった初期アクセス・ブローカー達の動きを監視し、彼らが実際に損害をもたらす前にその企みを阻止する手法についてご紹介します。

今回のブログでご紹介する手法は以下の通りです。

  1. 注目すべき初期アクセス・ブローカーの商品をクリック一つで確認する方法
  2. 複雑なクエリやメタデータ検索、ブール論理を使用して、初期アクセス・ブローカーや商品(ネットワークアクセス)を様々な切り口で調査する方法
  3. 重要なクエリをサブスクリプションに登録し、条件にヒットする情報をリアルタイムで入手する方法
  4. テキストを画像化してセキュリティ検知を回避しようとする初期アクセス・ブローカーの投稿を検知する方法
  5. KELAの専門家が作成したフィニッシュド・インテリジェンスを活用して、様々なブローカーや商品についての背景情報が取り入れられたインサイトを閲覧する方法
  6. DARKBEASTのAPIを利用して、現在使用しているツールで初期アクセス・ブローカーのデータを取得・分析する方法

廃業するサイバー犯罪マーケット、ユーザー達が次に向かう先は?

KELA脅威インテリジェンスアナリスト ヴィクトリア・キヴィレヴィッチ マーケティングコンテンツマネージャー シャロン・ビトン

サイバー犯罪社会かサーフェスウェブかにかかわらず、オンラインマーケットが廃業するというのはよくある出来事です。今、アンダーグラウンドのサイバー犯罪社会では、様々な理由によってマーケットが立て続けに閉鎖されており、閉鎖されたマーケットのユーザー達が、商品やサービスを売買できる次のマーケットを探し求めて活発な動きを見せています。KELAは、有名なカーディングマーケット「Joker’s Stash」が2021年2月15日をもって閉鎖するという重大発表を受け、様々なサイバー犯罪マーケットの閉鎖と、それらのマーケットを利用していたユーザー達が次にどこへ向かうのかについて理解を深めるべく、サイバー犯罪のアンダーグラウンドを調査しました。

今回の調査結果の重要なポイント:

  • Joker’s Stashが閉鎖されたことを受けて、同マーケットのユーザーを取り込もうとしている4つのマーケットを特定しました。それぞれのマーケットが打ち出す広告とユーザー達の反応を見たところ、Joker’s Stash のユーザー達はBrian’s ClubVclubYale LodgeUniCCを新たな活動の場に選ぶと考えられます。
  • 我々は、サイバー犯罪者達が一般社会のビジネスマンやマーケティング担当者と同じように、同業者の廃業に乗じて自らのサービスを宣伝し、そのユーザーを取り込もうとしている状況を観察しています。
  • Joker’s Stash の閉鎖を受けて新たなマーケットを探しているカード情報ベンダー達を取り込むために、マーケットの管理者達がベンダーに課すライセンス費用を無料にするというトレンドが生まれていることを発見しました。
  • IT・サイバーセキュリティを担当される皆様が脅威アクターらの信頼性を評価し、彼らの次の行動を予測して自らの組織をサイバー脅威から守るにあたり、まず脅威アクターらの動向と彼らのTTPを監視することが重要であると提言します。

もはや100万ドルでは終わらない —2020年第4四半期の ネットワークアクセス販売状況

KELA脅威インテリジェンスアナリスト ヴィクトリア・キヴィレヴィッチ

アンダーグラウンドのフォーラムでは、日々多数の初期アクセスが売買されており、今ではランサムウェアオペレーターらが標的のネットワークに侵入するためのエントリポイントとしても、初期アクセスが利用されつつあります。KELAは、前回の分析「2020年9月に販売されたネットワークアクセス—KELAが見たその100件の詳細」に続いて、2020年第4四半期に販売されたすべてのネットワークアクセスを評価しました。

今回のブログでご説明する重要なポイントは以下の通りです。

  • KELAは、2020年第4四半期に売り出された約250件の初期アクセス(希望販売価格の累計額は120万ドル超)を追跡しました。同四半期売り出されたアクセスの月平均件数は約80件となりました。
  • KELAは、売り出されたネットワークアクセスのうち最低でも14%が、販売者であるアクターによって「売却済み」と記載されたことを確認しました。
  • 同四半期の各月に売り出されたアクセスの件数は、いずれも9月の108件を下回っています。これについてKELAは、フォーラムで公開販売するよりも、非公開のメッセージを使って売り出す手口が増加したため、数字が若干減少したものと考えています。
  • 高額な商品のリストと販売者のTTP(戦術、技術、手順)についてまとめてゆく中で、KELAは、アタックサーフェスが日々拡大しており、その一方で初期アクセス・ブローカーが新たな種類のアクセスを販売している状況を確認しました。しかしその一方で、RDPやVPNを利用したアクセスや脆弱性(特定の脆弱性を悪用してコードを実行することで、アクターらが標的の環境内でさらなる攻撃を実行することが可能となる)が、引き続き商品の主流を占めています。