ランサムウェア集団の新たな収益化スキームとマーケティング手法の進化

脅威インテリジェンスアナリスト ヴィクトリア・キヴィレヴィッチ

現在、ランサムウェア攻撃に対する身代金の平均支払額は178,254ドル相当であり、2020年第一四半期の平均支払額から60パーセント増加しています。また。身代金の支払総額も増加しており、その要因として、ランサムウェアオペレーターの攻撃件数自体が増加していることに加え、彼らが被害者を脅迫し、悪意ある活動を収益化する手法を新たに開発していることが挙げられます。彼らの新たなTTP(戦術、技術、手順)には以下の活動が含まれています。

  • データの窃取と身代金の要求
  • 他のランサムウェア組織との協働
  • 窃取データを使った他の被害者への攻撃
  • 窃取データのオークション販売
  • 報道機関や被害者のパートナー企業、顧客に対する情報漏えいの通知
  • クレジットカード情報の窃取

 

MazeやSodinokibi (REvil)などの悪名高いランサムウェア犯罪集団はもとより、知名度が低く二番手といえるNetwalker、Ragnar Locker、Akoやその他の集団も新たな戦術を採用しています。

KELAは、これらランサムウェア集団のブログを定期的に監視しており、毎週新たに10から20の被害者(企業、組織等含む)が掲載されていることを確認していますが、彼らは身代金を支払わなかった被害者だけをブログに掲載しているため、実際の被害者の数はさらに多いであろうことがうかがえます。また、サイバー犯罪者らと連携した結果、ブログに掲載されなかった被害者も存在します。

次のセクションでは、より多くの利益獲得を狙うにあたって、ランサムウェアオペレーターがどのように自らのスキームを多様化し、被害者に対する脅迫行為に関連した「マーケティング活動」を実施しているのかに焦点を当てます。

初期アクセス・ブローカーの知られざる人生

プロダクト・マネージャー ラビード・レイブ 脅威インテリジェンスアナリスト ヴィクトリア・キヴィレヴィッチ

  • 先日ZDNetは、サイバー犯罪コミュニティに投稿されたリーク情報について独占記事を掲載しました。リークされた情報には、脅威アクターが窃取したエンタープライズ用Secure Pulseサーバー900台以上に関する詳細情報と資格情報が含まれていました
  • 今回リークされた情報は、いかにランサムウェアのリスクが拡大しているかを物語っています。KELAはそのリークの内容、リーク事件の発端を作った脅威アクター、リーク情報の流布に関与した脅威アクターについて深く掘り下げて調査を行いました。
  • 今回の短期的調査では、中間層に属するサイバー犯罪アクターである初期アクセス・ブローカーに焦点を置きました。彼らは、様々なソースからネットワークへの初期アクセスを入手して選別し、より大規模なネットワークアクセスに育て上げた後、それらのアクセスをランサムウェア・アフェリエイトに販売することを専門として活動しています。
  • アフェリエイト型ランサムウェアのネットワークが人気を集め、巨大企業はもとより規模の小さな企業にも影響が及ぶ中で、初期アクセス・ブローカーはアフェリエイト型ランサムウェアのサプライチェーンの中で急速に重要な存在となりつつあります。
  • 今回リークされたリストは、サイバー犯罪フォーラムを利用する複数の初期アクセス・ブローカーの間で回覧されていたと思われます。そして今回、彼らのようなアクターをプロとはみなさないLockBitのアフェリエイトがリストを公開しました。
  • 今回のレポートでは、サイバー犯罪コミュニティで交わされている幅広い情報をご紹介するとともに、サイバーインテリジェンスの専門家の視点から、的を絞ってスケーラブルにアンダーグラウンドのコミュニティを監視することの重要性をお伝えします。

教育セクターにおけるサイバー犯罪の増加

脅威インテリジェンスアナリスト ヴィクトリア・キヴィレヴィッチ マーケティングコンテンツマネージャー  シャロン・ビトン

この3件は、過去2か月の間に教育セクターで発生した主要なサイバー犯罪の見出しです。

大学のデータ Blackbaudへのランサムウェア攻撃により損失

カリフォルニア大学 ランサムウェア攻撃を受け身代金100万ドルを支払い

ヨーク大学 データ侵害により職員及び生徒の情報が盗まれたことを公表

これらは氷山の一角であり、この一年間でサイバー攻撃を受けた教育機関の数は増加傾向にあります。K-12 Cyber Incident Map (全米の公立幼稚園~高校で報告されたサイバーセキュリティ関連インシデントを可視化した資料)によると、2019年だけで348校がサイバー攻撃を受けています。これは米国の学校(大学を除く)のみを対象とした数値ですが、その数は今後ますます増加することが予想されます。

こういった状況から、以下の疑問が浮かび上がってきます。

  • アンダーグラウンドの脅威アクター達は、教育セクターの組織を調査し攻撃の標的とすることに関心を持っているのか?
  • 教育セクターを標的とする攻撃の種類は?
  • アンダーグラウンドのエコシステムで最近未遂に終わった攻撃は?
  • 未遂に終わった攻撃は、大学そのものを狙った標的型攻撃であったのか?それとも大学が利用するサードパーティ・プロバイダーを介してさらにその先にある組織を狙った攻撃であったのか?

我々は、このブログ全体を通じてこれらの問いに対する答えを明らかにしていきます。

アクセス・アズ・ア・サービス―サイバー犯罪のアンダー グラウンドに広がるリモートアクセスマーケット

プロダクトマネージャー ラビード・レイブ

リモートアクセスマーケットとは、攻撃者が侵害したウェブサイトやサービスへのアクセス認証情報を自動売買する市場です。そしてその手軽さゆえに、攻撃者にとっては絶え間なく生成される大量のビジネスチャンスをいつでも購入できる場所となっています。組織のネットワークへのアクセスをサービスとして購入できるということは、不正行為に必要な技術的ハードルが下がるということであり、その結果、組織がランサムウェア攻撃やカードスキミングなど、一連のオンラインの脅威にさらされるということにつながります。

今回のブログでは、KELAが追跡・監視しているリモートアクセスマーケットでも、特に有名な存在となっている「MagBo」について考察します。MagBoは様々な点でその独自性を打ち出していますが、なかでも取り扱い商品数が大きいことが特徴といえるでしょう。同マーケットは2年にわたるその操業期間において、侵害したウェブサイト約150,000件へのアクセス(その大半は侵害したサーバーにインストールしたWebシェルマルウェアへのアクセス)を売買しており、そのなかには世界中の金融機関、政府組織、重要インフラストラクチャーのウェブサイトも含まれていました。KELAは、MagBoやその他のリモートアクセスマーケットについての洞察を得ることが、防御する側にとって極めて重要なインテリジェンスフィードになると提言します。

SLACKと企業のアタックサーフェスの現在、そして未来

プロダクトマネージャー ラビード・レイブ

  • 一部報道では、先週発生したTwitterアカウントの乗っ取りは、Twitter の社内Slackの資格情報を窃取した攻撃者によって行われたものと発表しています――実際には、攻撃者はSlackを同社ネットワークに侵入するための初期アクセスとして利用していました。
  • アンダーグラウンドのサイバー犯罪マーケットでは12000件を超えるSlackの資格情報が販売されており、数千もの組織にとって明らかな脅威となっています。しかし、一般に公開されている報告とサイバー犯罪コミュニティの両方を検証した結果、現在攻撃者がSlackについてそれほどの関心を持っているという事実には至りませんでした。
  • KELAは、サイバー犯罪者らがSlackへの不正なアクセスを収益へと結びつけることに苦戦しているのではないかと考えています。その理由として、Slackは標的のネットワークに直接アクセスできる権限を付与するアプリケーションではないため、攻撃者がSlackから他の社内アプリケーションにアクセスしようと考えるならば、果てしない偵察活動を続けつつまったくの偶然がもたらすチャンスが舞い降りてくるのをひたすら待つしか術がないのです。
  • ランサムウェアを悪用する攻撃者の間では大物狩りを狙う戦術が流行しており、その一方で標的型の侵入攻撃による被害額が増加しています。これらを踏まえ、攻撃者らは今後、Slackなど企業のアタックサーフェスを拡大するクラウドアプリに対してより大きな関心を持つであろうと予想されます。
  • これらの観点からKELAは、組織や企業の皆様がスケーラブルな自動監視ソリューションを導入し、機密データが保存されたクラウドアプリを狙うサイバー犯罪活動について最新の情報を享受されることを強くお勧めいたします。

情報窃取型マルウェア「AZORult」の二度目の死

プロダクト・マネージャー ラビード・レイブ   脅威インテリジェンスアナリスト レオン・キュロラプニック

2020年2月中旬以降、さまざまなサイバー犯罪コミュニティで、情報窃取型マルウェア「AZORult」のパスワード窃取機能が2月4日にリリースされたGoogle Chromeのアップデートによって無効化されたことが話題になっています。「AZORult」は現行の情報窃取型マルウェアの中で広く利用されているものの1つで、現在進行中(当時)のキャンペーンの元凶でもあります。「AZORult」の保守は終了しており、多くの脅威アクターはこのマルウェアが完全に引退したと考えています。ただし、これまでもそうだったように変化に対応した既知および未知のマルウェアが出現しています。

サイバー犯罪マーケット「Genesis」のサプライチェーン

リサーチ:Part 1 – GUID の謎を解く プロダクトマネージャー ラビード・レイブ

本ブログ記事はサイバー犯罪マーケット「Genesis」のサプライチェーンについて解説するシリーズの第一弾です。コンピューターウイルス(マルウェア)に感染させた端末から窃取したログイン情報を販売するオンラインストア「Genesis」は、ロシアの脅威アクターと思われる管理者によって 2018 年から運営されており、革新的なモデルによって成功を収めています。今回の調査では、ある簡単な方法を用いて「Genesis」に掲載されている 33 万 5 千台以上の感染端末(ボット)を 4 つのグループに分類しました。この分類により、掲載されているボットのうち 30 万台以上が情報窃取型マルウェア「AZORult」に感染した端末であり、「Genesis」の脅威アクターは毎月数万台単位で「AZORult」への感染を拡大している活動に関与していることが判明しました。ただし、「Genesis」は必ずしもそのような活動を主導しているわけではなく、むしろさまざまなマルウェア・アズ・ア・サービス(MaaS)プロバイダーおよびサイバー犯罪サービスと協力関係を結んでいるようです。

「Genesis」を広く知られたコモディティマルウェアと結びつけるこの発見は、ボットによって不正に取得したデータの急増とそれらが現在進行形で法人組織に脅威をもたらしていることを明らかにするものです。また、サイバー犯罪のエコシステムで活動している脅威アクター間のサプライチェーン関係にも光を当てます。次回以降のブログ記事では特定の脅威アクターやトレンドを取り上げながらこのテーマについて探求します。