ランサムウェアビジネスに新たな潮流?「フランチャイズ」方式とは-セキュリティブログ
トレンドマイクロは、ランサムウェアグループ「XingLocker Team」の活動を調査するなかで、フランチャイズ事業にヒントを得たと見られる比較的新しく興味深い「ビジネスモデル」を発見したという。
果たして、興味深い「ビジネスモデル」とはどのようなものなのであろうか。セキュリティブログより紹介する。
この比較的新しく興味深い「ビジネスモデル」が具体的にどのようなものかといえば、「RaaS」と呼ばれるランサムウェアサービス(Ransomware as a Service)を利用する攻撃者が、RaaSで提供されたランサムウェアをそのまま使用するのではなく、そのランサムウェアを展開する前にリブランディングする。ランサムウェアを使用する攻撃者たちは創意工夫を凝らして身代金を獲得するためのビジネスを展開することで知られており、標的とする企業や組織がランサムウェアに対して対策を行うセキュリティソリューションを採用するにつれて、さらに高度化し続ける。
「XingLocker」は、Windowsシステムを標的とするランサムウェアファミリの1つである。実はこのXingLockerは、ランサムウェア「Mount Locker」がリブランディングされたものである。そのランサムノートでは、オリジナルのMount Lockerとは異なるOnionサービス(匿名ネットワークTorを介してのみアクセスできる匿名性の保たれたサイト)が被害者に示されている。
図1:XingLockerの被害者向け「サポート」ページ
ランサムノート上のリンクをクリックした場合に表示される
Mount Lockerグループ及び別のランサムウェアグループ「AstroLocker Team」との関連性については、2021年3月にセキュリティベンダ「Sophos」がすでに調査していた。
図1にあるサポートページとSophosのブログ記事に掲載されているものを比較することで、XingLocker TeamもMount Lockerグループのフランチャイズであることが推測できる。
これらの点と点をつなげてみると、2つのフランチャイズには関連性があることも判明しており、次に詳しく解説する。
XingLocker TeamとAstroLocker Teamの関連性
トレンドマイクロでは当初、XingLockerは単にMount Lockerがリブランディングされたものであり、同一グループによって運営されているものと考えていた(ランサムウェアのビジネスではよくある手法)。しかしながら、被害者ごとに異なるOnionアドレスを使用していることに、トレンドマイクロは注目していたという。
XingLocker Teamは、多くの事例で展開されているように複数のサーバを設定するのではなく、同一サーバを指す複数のアドレスを作成している。
これだけではあまり意味をなさないものの、このサーバに対するHTTPリクエストを分析すると、他のディレクトリが存在することも明らかとなっている。
これらのディレクトリには、別のグループ「AstroLocker Team」の被害に遭った企業のデータが保存されていることが判明した。
図2では企業名を伏せているが、これらの企業はXingLocker TeamではなくAstroLocker Teamの被害者として知られている。
図2:Onionサービスに対するHTTPリクエスト
ランサムウェアグループによって共有されるインフラ
当該調査時点でトレンドマイクロは、少なくとも4つの異なるサーバで使用されている15個のOnionアドレスを確認しているが、3つのサーバは今も不明な状態であるという(表1)。
表1:異なるサーバで使用されているOnionアドレス
そして以下の表2は、これらのサーバがどのランサムウェアグループと関連しているかを示している。
表2:XingLocker TeamおよびAstroLocker Teamに関連する様々なサーバ
これは高度な技術革新ではないものの、ランサムウェアグループが自身のアフィリエイトプログラムやRaaSビジネスを運営するための新たな方法を模索していることを強調しておく必要がある。このような形でインフラやコードが共有されると、調査の観点から事態が難しくなるといえる。
XingLockerの検体がMount Lockerとして検出されたり、同じOnionサービスを指す2つの異なるOnionアドレスが複数のランサムウェアグループによって使用されていたりすることも珍しくない。セキュリティ担当者はランサムウェアを調査する際に、これらの要因にも注意する必要があるだろう。
なぜこれらの要因に注意する必要があるかと言うと、RaaSモデルの多くは、実行役であるアフィリエイトがRaaSの提供者と協働して特定の名前を付けたランサムウェアをできるだけ多くのPC端末上にインストールさせ、最終的に被害者に支払わせた身代金を分配することで運営が成り立っている。(恐ろしいことにランサムウェアのレベニューシェアとも言える)
これは、被害者が攻撃されたランサムウェアについて調べた際に多くの被害報告を目にすることで、不安や恐怖心にかられて身代金を支払ってしまう可能性を高めることができるため、攻撃者にとって有利な状況となる。不利な点としては、アフィリエイトは匿名性が高く、これらの攻撃基盤を自身の犯罪ビジネスの基盤として利用することができないことが挙げられる。
トレンドマイクロではこれらの調査と考察から、XingLocker、AstroLocker、Mount Lockerなどのランサムウェアは「フランチャイズ」方式を採用した新たなRaaSモデルであるものと結論付けている。
このビジネスモデルでは、主力となるRaaS(本記事ではMount locker)からアフィリエイトがランサムウェアのライセンスを取得し、自身で命名した名前やブランドを用いてリリースしているものと考える。
上記のシナリオにおいてアフィリエイトは、例えばスキーのOEMビジネスのようなものである。
ベースとなるスキーは親会社(フランチャイズ本部)から供給されるが、個々の事業者(アフィリエイト)は、自身で冠した名前やイメージを用いた独自のブランドでビジネスを展開する。(例えば、最近アルペンレースシーンに復活を遂げたケスレー:KASTLEはaugment skiのOEMだったりもする)
そして、この方法は、アフィリエイト、特に中堅の犯罪組織のリーダーを目指す人たちにさらなる柔軟性と認知度を与えてしまう。
欠点の1つとしては、個々のランサムウェアのブランド認知度が低下するため、被害者の身代金を支払う意欲を減退させる可能性があります。もちろん、この方法は多くのランサムウェア名やブランドを追加することから、調査側の追跡を困難にします。
ランサムウェアの被害に遭わないためには
ランサムウェアは継続的に高度化する脅威であるため、企業や組織は常に最善かつ効果的なセキュリティポリシーおよび対策を維持する必要がある。
参考として、米国の非営利団体「Center of Internet Security(CIS)」及び「米国標準技術研究所(NIST)」が策定したフレームワークから、組織がLockBit 2.0のようなランサムウェアを含むサイバー攻撃を防ぎ、その影響被害を軽減するためのベストプラクティスをいくつかご紹介する。
- 監査と棚卸:
組織が所有するすべての資産およびデータの棚卸を作成し、特定のシステムへのアクセスを許可する、あるいは不許可とするPC端末、ソフトウェア、人員を特定すること。
イベントやインシデントのログをすべて監査・監視し、異常なパターンや行動を特定すること。 - 設定および監視:
ハードウェアやソフトウェアの設定を意図的に管理し、絶対に必要な場合にのみ特定の担当者に管理者権限やアクセス権を付与すること。
ネットワークのポート、プロトコル、およびサービスの使用状況を監視すること。ファイアウォールやルータなどのネットワークインフラ機器にセキュリティ設定を実施し、悪意のあるアプリケーションの実行を防ぐためにソフトウェアの許可リストを作成すること。 - 最新のパッチおよびアップデートの適用:
定期的に脆弱性評価を実行し、OSやアプリケーションに対して最新のパッチまたは仮想パッチを適用すること。
インストールされているソフトウェアやアプリケーションがすべて最新版に更新されていることを確認すること。 - 保護と復旧 データの保護、バックアップ、およびリカバリの実施:
同様に使用するすべてのPC端末やプラットフォームに、可能な限り多要素認証を導入すること。 - 安全と防御:
サンドボックス分析を行い、悪質な電子メールを調査してブロックすること。
電子メール、エンドポイント、ウェブ、ネットワークなど、システムの全レイヤーに最新のセキュリティソリューションを導入すること。システム内の不審なツールの存在など、攻撃の初期兆候を発見し、人工知能(AI)や機械学習を搭載したものなど、高度な検知技術を有効化すること。 - トレーニングやテストの実施:
セキュリティスキルの評価と全担当者へのトレーニングを定期的に行い、レッドチームによる演習やペネトレーションテストを実施すること。
実際、すべてを満たすにはそれなりにお金も時間も必要な内容かもしれませんが、被害にあってからでは取り返しがつかないのがセキュリティ。
今できるベストエフォートは何か、それを考えていくのも情シスの仕事でもある。
本記事は、トレンドマイクロ様の許諾の元、「トレンドマイクロ・セキュリティブログ」の内容をベースに作成しております。
ソース:https://blog.trendmicro.co.jp/archives/29181