ランサムウェアを「サービス」として犯罪グループに提供することで利益を上げる闇市場が成長している
近年では、コンピューターのシステムを人質にして身代金を要求するランサムウェアの被害が多発しており、病院がターゲットになったことで搬送中の患者が死亡したり、最高裁判所が閉鎖されたり、日本のゲームメーカーであるカプコンが標的とされたりしています。セキュリティ企業のIntel 471により、ランサムウェアを「サービス」として犯罪グループに提供して利益を上げる「Ransamware-as-a-service(RaaS)」と呼ばれる分野の市場が成長していると報じられました。
Ransomware-as-a-service: The pandemic within a pandemic - Intel 471
https://public.intel471.com/blog/ransomware-as-a-service-2020-ryuk-maze-revil-egregor-doppelpaymer/
The ransomware landscape is more crowded than you think | ZDNet
https://www.zdnet.com/article/the-ransomware-landscape-is-more-crowded-than-you-think/
新型コロナウイルス感染症(COVID-19)のパンデミックによってリモートワーク需要が高まる中、ランサムウェアの被害はますます増加しています。単純に被害件数が増加するだけではなく、身代金の平均要求額もパンデミック中に増加傾向にあるとのことで、多くの企業や機関がランサムウェアへの警戒を強めています。
今回Intel 471が報告したのは、Software as a Service(SaaS)ならぬ「RaaS」という分野の成長です。SaaSは必要な機能をサービスとして利用可能にしたソフトウェアの提供形態を示す言葉であり、近年ではSaaSと同様の形態がランサムウェアの分野にも持ち込まれ、専門家の間ではRaaSと呼ばれているそうです。
RaaSは既成のランサムウェアコードを他の犯罪者グループに提供するというサービス。ランサムウェアを購入する犯罪者グループは、提供元の用意したオプションを組み合わることで、ターゲットに最適化した攻撃を行うことができるようになるとのこと。
RaaSのクライアントとなるグループによるサイバー攻撃は多岐にわたり、電子メールを介したフィッシング攻撃や侵害したリモート・デスクトップ・プロトコル(RDP)の資格情報を使った不正アクセス、ネットワークデバイスの脆弱性を突いた不正アクセスなど、さまざまなものが含まれます。犯罪者グループがランサムウェア攻撃によって利益を得たら、その一部がRaaSを提供するグループに支払われるという仕組みです。
クライアントにランサムウェアのコードを提供する市場は2017年ごろに登場したそうで、RaaSを利用することで高度なコーディングの技術を持っていない犯罪者グループでも、ランサムウェアを使った攻撃が可能となっています。Intel 471の調査によると、地下のハッキングシーンで宣伝されているRaaS製品は約25種類あるそうで、その内訳は主に3つの層に分けることができるとのこと。
・第1層
およそ数カ月にわたって多数の攻撃に用いられた実績があり、最もよく知られているRaaSグループが第1層に分類されます。この層にはREvil・Netwalker・DopplePaymer・Egregor(Maze)・RyukといったRaaSグループが含まれ、その多くが身代金を拒否した企業・機関の情報をリークする専用のウェブサイトも運営しているとのこと。
・第2層
アンダーグラウンドのハッキングフォーラムで一定の評判を得ているものの、第1層ほどの顧客や実績を持っていないRaaSグループが第2層です。Avaddon・Conti・Clop・DarkSide・Mespinoza(Pysa)・RagnarLocker・Ranzy(Ako)・SunCrypt・Thanosといった第2層のRaaSグループは、業界の新鋭といえる存在だそうです。
・第3層
立ち上げられてから日が浅いか、活動に関する情報が限られているRaaSグループが第3層に当たります。CVartek.u45・Exorcist・Gothmog・Lolkek・Muchlove・Nemty・Rush・Wally・Xinof・Zeoticus・ZagreuSといった第3層のRaaSグループの中には、稼働していないものや失敗したものも含まれているとみられます。
海外メディアのZDNetは、「地下のサイバー犯罪エコシステムは犯罪活動を通じて利益を生み出していますが、それでも市場である以上は他の市場と同様に、市場を導く原則に準拠しています」と述べ、RaaSの市場にも競争原理が働くと指摘。記事作成時点では市場が飽和状態に達していないものの、やがてRaaSグループの数が犯罪者の需要を上回ったり企業のセキュリティが強化されたりした場合、弱小のRaaSグループが排除されるだろうと予想しました。
なお、ハッキング技術の高度化や必要な作業量の増加により、犯罪者グループがハッキングを「下請け」に任せる事例も増加していると報じられており、近年はサイバー攻撃の外部委託が進んでいる実態がうかがえます。
「下請け」にハッキングを任せるハッカーグループが急増 - GIGAZINE
・関連記事
「下請け」にハッキングを任せるハッカーグループが急増 - GIGAZINE
ランサムウェアでブラジルの最高裁判所が閉鎖、Windowsの主要なランサムウェアがLinuxに乗り換えた事例としては初 - GIGAZINE
ランサムウェア攻撃を仕掛けたハッカーに身代金を支払うと政府から罰金が科される可能性がある - GIGAZINE
FBIが医療機関にランサムウェアの脅威を警告し厳戒態勢が敷かれる - GIGAZINE
病院がランサムウェア攻撃を受けた影響で患者が死亡した初の事例が報告される - GIGAZINE
医療システムに対するランサムウェア攻撃が多発、新型コロナワクチン開発などに打撃 - GIGAZINE
ランサムウェアの被害を受けた大学とハッカーの間で行われた「身代金交渉」の様子とは? - GIGAZINE
・関連コンテンツ