ランサムウェアグループ REvilが 100 万ドルでアフィリエイトを募集

残念なことに、ソフォスでは RaaS (Ransomware-as-a-Service: サービスとしてのランサムウェア) について何度も記事にしてきました。

RaaS は、標的の特定やネットワークへの侵入、マルウェアの拡散、攻撃の実行までの行為を他人に実行させ、ランサムウェアの作成者自身は注目を逃れるという仕組みです。

攻撃の首謀者は離れたところから、匿名性の高い暗号通貨を利用して被害者から身代金を搾取します。

スパム送信、フィッシング、詐欺、ハッキング、マルウェアの拡散、そして攻撃に至るまで、つまり実質的な犯行は、アフィリエイトが実行します。

「サービスとしてのクライムウェア」のエコシステムでの分け前は、Apple の App Store や Google の Play Store と同じ比率が採用されています (単に馴染みのある比率だから、という理由だと考えられます)。

アフィリエイトは、自身が獲得した金額の 70% を手にし、首謀者は収益全体の 30% を手にするのが一般的です。

RaaS で特に有名なのは REvil として知られるグループで、共犯者を勧誘するインセンティブとして、地下フォーラムの「口座」に 100 万ドルを「入金」したとされています。

セキュリティ研究者の @Raj_Samani は次のツイートで、「Revil/Sodinokibi ランサムウェアグループが『ペネトレーションテストの技術を持ったハッカー』のアフィリエイトを募集しているが、これは非常に心配な展開です」と書いています。

 (ツイート内画像の日本語訳)
   そのため私たちは:

   1.代理広告をしてくれるチームを、才能ある人材によって拡大します。
   2.経験者をお待ちしています。

   目的はただ 1 つです。それは廃材の質と量を高めて、利益を拡大することです。
   応募者全員を受け入れるわけではありません。

   安心、信頼して応募できるよう、100 万ドルをすでに用意してあります。

後述しますが、「廃材の質と量を高め」るという奇妙で不自然なフレーズがあります。これは、ランサムウェア攻撃によって秘密の鍵で暗号化されたファイルのことだけを指すわけではありません。

ほぼ間違いなくこれは、身代金を支払わなかった場合に、企業に恥をかかせる、顧客の怒りを煽る、規制当局の調査を受けさせる、などといった目的のために盗み出し、ゆすりのネタとする機密ファイルのことも指しています。

応募に必要なスキル

セキュリティニュースサイト Bleeping Computer によれば、REvil は応募要項を以下のように明記しています。

   msf / cs / koadic, nas / tape, hyper-v 、その他類似するソフトウェアやデバイスのペネトレーションテストの経験と技術を既に持っているチーム

念のため説明を添えると、最初の 3 つの略語はいわゆるグレーハットツールを指します。本来はサイバーセキュリティの研究やテストを目的として作成されたソフトウェア製品ですが、犯罪にも広く利用されています。

元々は、ネットワークが安全であるかどうかを確認し、安全ではない場合に保護を強化するための正規のセキュリティツールとして販売、配布されているものです。

しかし、サイバー犯罪者にとっても計り知れない価値があり、これを使用してネットワークが安全であるかどうかを確認し、安全ではない場合は無差別に侵入します。

  • MSF とは Metasploit Framework の略で、無料版と有料版があります。
  • CSCobalt Strike の略で、「ペネトレーションテスターのための高度な脅威戦術」を提供する、有料の製品です。(ソフォスが知る限りでは、攻撃者があえてこれらを購入することはありませんが、買う必要に迫られたとしても容易に購入可能な価格でしょう)。
  • Koadic はオープンソースのペネトレーションテストツールで、「Windows を標的にした侵入後の攻撃用ルートキット」と謳われています。

NAS (ネットワーク接続ストレージ) と tape (磁気テープ) とはもちろん、2 つの一般的なバックアップテクノロジーのことで、今日のランサムウェア攻撃者はこれらを事前にネットワークから削除し、自力での復旧を困難にしようとします。

Hyper-V は Windows ネットワーク上で一般的に使用される Microsoft の仮想マシン (VM) ソフトウェアのことで、高性能なサーバーを複数のコンピューターであるかのように稼働させ、IT チームが必要に応じてサーバーのワークロードを増減できるようにします。

通常サーバー上の各 VM に仮想ハードディスクとして使用されているファイルは、仮想化ソフトウェアによってロックされているため、暗号化できません。

しかし、何十何百もの VM を同時に監視している管理ツールに侵入できれば、通常のファイルを含む通常のコンピューターと同じように、「中から」攻撃することができます。

皮肉にも、仮想化ツールは現在ランサムウェア犯罪者自身に使用されており、ファイルやプロセスが標的であるホストコンピューターのセキュリティ検査を迂回してランサムウェアを実行できるよう、こっそりと VM を起動させています。

背景

昨年、GandCrab として知られる悪名高い RaaS グループの解散について書きました。しかしその解散は、残念ながら逮捕や有罪判決によってではなく、以下のような彼ら自身の声明によるものでした。

良いことはいつか必ず終わる。(中略) 我々の週の平均収益は 250 万ドルであった。個人的には年間 1 億 5000 万ドル以上を稼いでいた。(中略) 引退の潮時であり、解散することとする。

しかし、ランサムウェアグループの複雑な歴史をたどるのは容易ではないにしても (中でも、逮捕、起訴されていない人物に関しては困難です)、Gandcrab 解散の報告自体が詐欺であったかのごとく、彼らはすぐに別のランサムウェアを従えて戻ってきたようです。そのランサムウェアとは、Sodinokibi、または REvil と呼ばれるものです。

当時は、Sodinokibi ランサムウェアの要求額はコンピューター 1 台あたり約 2500 ドルでしたが、4 日後には 5000 ドルに跳ね上がりました。

変遷

<p以前と同じ恐喝の手法が通用しなくなっています。

REvil のようなランサムウェアを使用するグループは、広範な攻撃で何千台ものコンピューターを個別に暗号化するのではなく、一度に 1 つ、または複数のネットワークに攻撃を設定するようになっています。

IT チームや最高情報責任者 (CISO) が管理するネットワークに侵入できれば、彼らと直接「交渉」できます。そして、会社のすべてのコンピューターを同時に封じられれば、はるかに大きな脅迫のネタを手にできます。

結果として 6 桁、時に 7 桁の身代金要求がなされることもあります。

(先日 Maze ランサムウェアを使用した攻撃について書きましたが、この時には 8 桁もの金額が要求されました (要求金額は 1,000 万ドルからスタート)。なお、このインシデントの被害者は支払いを拒否しました。)

前述したように、ランサムウェア攻撃ではデータの窃取も日常的に行われているため、被害者は二重の恐喝に直面することになります。

最近の恐喝は、ビジネスを再開できるようにネットワーク全体の復号鍵を購入させることだけが目的ではありません。

彼らは「協力」の見返りとして金銭を支払うように脅迫してきます。その協力とは、盗んだデータを世界にばらまかない、あるいは他の犯罪者のために競売にかけない、あるいはその両方を行わないようにデータを削除する、というものです。

つまり、誘拐と脅迫をどちらも行っているようなものです。たとえ被害者が直近の信頼性の高いバックアップを持っていてファイルを復旧でき、片方の危機から抜け出せたとしても、もう 1 つの弱みを握られていることになります。

そう考えると、REvil グループによる例の 100 万ドルの「投資」が、彼らにとっては簡単に用意できる金額で、綿密に計画した 1 回の攻撃で回収可能な手付金のようにも見えてきます。

対策

ここでは、技術的なヒントを列挙する代わりに、Bleeping Computer の記事の内容を繰り返すことにします。

決して支払いに応じないことです。

最悪の事態が起きても、支払いの要求を飲まされないよう最善の努力をしてください。

以前にもお伝えしましたが、ランサムウェアの被害に遭っても大金を支払わないよう企業を勇気づける詩をお送りします。

   If you get hit by ransomware
      It means you've had a breach.
   The world might get judgmental
      And want to point and screech.
  
   But if, despite the blackmail threats, 
      You tell the crooks, "Hell, no!" 
   Then we give you a big, loud cheer
      And say to you, "Chapeau!"


   ランサムウェア攻撃を受けたら
      データを侵害されたということ
   世間はあなたを批判するだろう
      指を差して糾弾するだろう  

   しかしそんな向い風を押してなお
      あなたが詐欺師に「ノー」というなら
   大きな大きな声援を送ろう
      その勇気を称えよう