マルウェア/ランサムウェア

サービスとしてのランサムウェア(RaaS):公然と運営される闇ビジネス

Adrien Gendre

3月 19 2020

11 min

ランサムウェアによる世界的な被害額は、2019年に115億ドルを記録しました。特にMSPは、政府機関、医療機関、その他重要サービスの分野で知名度の高いクライアントが攻撃されたことで、ランサムウェアに対して強い怒りを示しました。Dattoによると、2019年上半期に59パーセントのMSPが自社のクライアントに対するランサムウェア攻撃を報告しました。身代金の平均要求額は37パーセント増加し、ダウンタイムにかかる費用(5,900ドル)は2018年のランサムウェアの平均要求額を23倍上回りました。

これらの数字にさほど警戒心を感じないのならば、サービスとしてのランサムウェア(RaaS)が急増しているという事実もあります。およそ50ドル程度を支払えば、どんなハッカー志望者でもRaaSを購読でき、その月極のライセンスを使って企業に攻撃をしかけられます。

RaaSとは何か?

RaaSはSaaSのようなサービスで、ハッカーがランサムウェア攻撃をしかけるために必要なものがすべて含まれています。キット内容は希薄なものから堅固なものまで幅がありますが、一般的なRaaSの購読料は50ドルほどで、ランサムウェアコードと復号キーが含まれています。洗練されたRaaSのパッケージには、カスタマーサポートや被害者の感染状況や身代金の支払ステータスなどをトラッキングできるダッシュボードが含まれています。

サイバー犯罪組織によって開発されたRaaSは、ランサムウェアの開発と実行を単純化することによって、スキルの低いハッカーの参入を実質的に可能にしました。RaaS組織の中には、製品を使用するために毎月のライセンス料を請求するところもあれば、支払われた身代金の最大70パーセントのコミッションをアフィリエイトから徴収するところもあります。

SaaS会社と同じようにRaaSの開発者も、顧客やアフィリエイトへ次から次へと新作リリースを行っています。また、彼らは、Eコマースビジネスの洗練された効果的な手法を取り入れて闇サイトで自らのウェブサイトを運営しています。SaaSの定期購読と同じように、多くのRaaSの定期購読モデルも、ブロンズ、シルバー、ゴールドというように段階的な構造になっており、順次レベルが上がるごとに、より良い機能とサポートが提供されるようになっています。

RaaS組織

闇サイトで特定されたRaaSの開発者には、RainMaker labs、GandCrab、 Sodinokibiなどがあり、ごく最近ではJokerooが特定されています。RainMakerは、2017年に新聞の見出しを飾ったフィラデルフィアのランサムウェアの黒幕でした。フィラデルフィアのRaaSに関しては、ハイテクコミュニティでは競合商品と比較すると粗雑だと評価する者がいたにもかかわらず、売り出し方に長けていて、高品質なビデオまで使って広告されていました。

GandCrabランサムウェアの黒幕グループは、世界中の被害者から20億ドルを巻き上げたと表明しました。ところが、2019年に稀に見る慈悲行為がありました。亡くなった子どもたちの写真にアクセスできなくなるトラウマを公にしたシリアのランサムウェア被害者にGandCrabの開発者が復号キーをリリースしました。GandCrabの復号キーはセキュリティ研究者たちによって迅速に作成され、その後まもなくGandCrabの活動は終息しました。

Bleeping Computerによれば、GandCrabはRaaSビジネスの絶頂期には392件のアフィリエイトを有していました。2019年10月にこのグループは消滅しましたが、2019年の最大規模の攻撃のいくつかをしかけたランサムウェアのSodinokibiとして再編成された可能性が高いようです。研究者たちは、GandCrabとSodinokibiのコードの顕著な類似性に気づきましたが、開発者の個性の違いも見受けられたため、マネージメント幹部が一新されたのではないかと推測しています。

組織能力と優れた技術能力の両方でGandCrabを上回る多数のアフィリエイトとRaaSモデルを有するSodinokibiは、それぞれの固有のニーズに基づいてカスタマイズされてアフィリエイトに配布されます。Bank Info Securityの2019年の記事の中で、コネチカット州を拠点とするセキュリティ会社Covewareの代表は、アフィリエイトの中には、MSPとその他のITサービスプロバイダの対する攻撃の専門的な経験を持つ者もいると発言しました。Sodinokibiは、2019年にSynoptec、PercSoft、CyrusOne、LogicalNetを含む多数のMSPを攻撃しています。

Jokerooは2019年3月にTwitterでその存在を公表し、初めて注目されました。Jokerooには複数のメンバーシップレベルがあり、Jokerooの被害者のランニングリストとランサムウェア支払い、カスタマイズ可能なランサムノートビルダーを含む立派なUIを併せて提供します。

RaaSパッケージを展開する

RaaSのオペレーターたちは、より多くの顧客を惹きつけるためには、使いやすい製品を提供しなければならないことを知っています。Sodinokibiは、多くのマルウェアの形式と同じように洗練された類のものであるにもかかわらず、簡単なメールで配布できます。

フィッシングは、今でもあらゆる種類のランサムウェアの配布方法として最も一般的であり、フィッシングを通じて配布された攻撃はランサムウェア全体の67パーセントを占めています。フィッシングメールから生じた最近のランサムウェア攻撃として、ルイジアナ州ニューオーリンズ市やノースカロライナ州ダーラム市が挙げられます。どちらの自治体も結果としてオフライン状態に陥り、その中には911ヵ所のコールセンターと消防署も含まれていました。

フィッシングメールは簡単に作成して送信できるというだけではなく、フィルターをする抜ける方法もますます洗練されてきています。そのうえ、未熟なハッカーは独自のSaaSビジネスを展開する犯罪フィッシング組織の助けを得ることができます。

サービスとしてのフィッシング(PhaaS)はRaaSと同じく、オールインワンのハッキングソリューションです。一般的なフィッシングキットには、フィッシングメール、フィッシングウェブサイト、メールリスト、さらには回避ツールまでも含まれています。RaaSとPhaaSを一緒に利用すれば、ハッカーは攻撃をしかけるのに必要なものすべてを手に入れることができます。

ランサムウェアを阻止する

RaaSとPhaaSを利用できることで、ハッキング経験が無きに等しいハッカーでも無限のチャンスを得られるようになりました。さらに、MSPを攻撃すれば、1度の攻撃で複数の標的を襲うことができます。以下の対策を導入してビジネスを保護しましょう:

  • バックアップ:定期的なバックアップを行い、別のデバイスにそれらのデータを保存して、ハッカーが決してファイルにアクセスできないようにしましょう。
  • アップデート:すべてのソフトウェアの更新やパッチを定期的に行い、既知および未知のシステムの脆弱性への対策を取りましょう。
  • フィッシングおよびランサムウェア対策:配布時とクリック時の両方でフィッシングメールを検出して阻止できる高度なフィッシング保護に投資しましょう。
  • ユーザートレーニング:ユーザーにフィッシングの意識向上トレーニングを実施して、フィッシングの兆候の見分け方を指導するとともに、ユーザーがフィッシングメールをクリックしたり、それに返信してしまったりした時に状況的なトレーニングを実施してトレーニングを補強しましょう。

Banner ホワイトペーパーSignature signitic