この Cyber Signals デジタル ブリーフィングでは、ランサムウェア産業の状況と、組織が身を守る方法について、Microsoft Security の CVP である Vasu Jakkal が、一流の脅威インテリジェンス専門家の皆さんに話を聞きます。
ギグ ワーカーへの単発外注化でビジネスの効率を高める動きがさまざまな業界で進んだように、サイバー犯罪者は、ランサムウェア ツール業者 (自分では攻撃を仕掛けない) からツールをレンタルまたは購入して利用し、利益の一部を支払うようになりました。
RaaS によってランサムウェア攻撃者の参入障壁は下がり、脅迫行為の背後にいる攻撃者の正体は見えにくくなっています。RaaS プログラムによっては、異なるツール、スパイ技術、目的を持った 50 以上の "アフィリエイト" (サービス利用者) によって使われている場合もあるからです。乗用車を持っている人は誰でもライドシェア サービスの運転手を始められる可能性があるのと同じように、ノート PC とクレジット カードを持っていて、ダーク Web を検索して侵入テスト ツールや既製品マルウェアを探す気がある人は、誰でもランサムウェアの世界に手を染める可能性を持っています。
このようにサイバー犯罪が産業化したことで、いろいろな専門の役割分担が生まれました (例: 特定のネットワークへのアクセスを有料で提供するアクセス ブローカーなど)。1 件の侵害行為が、侵入のさまざまな段階を担う複数のサイバー犯罪者が関与して成り立っていることはよくあります。
RaaS キットはダーク Web で簡単に見つけることができ、普通の商品と同じようにインターネット上で宣伝されています。
RaaS キットには、カスタマー サービス サポート、バンドル製品、ユーザー レビュー、フォーラム、その他の機能が含まれていることがあります。定額で購入できる RaaS キットが提供されているほか、アフィリエイト モデルで RaaS を提供し、サイバー犯罪者の利益から一定割合の報酬を受け取るグループもあります。
ランサムウェア攻撃を実行する際にはネットワーク構成に応じた判断が必要であり、たとえランサムウェア ペイロードが同じでも標的ごとに実行方法が異なります。ランサムウェアは、データ流出やその他の影響を含む一連の攻撃の終盤、クライマックスにあたります。サイバー犯罪の世界は相互に結びついており、一見無関係に見える侵入行為の積み重ねが新たな侵入の基礎になっている可能性もあります。パスワードや Cookie を盗むインフォスティーラー系マルウェアは扱いの重大度は低めですが、盗んだパスワードの転売益は、サイバー犯罪者が別の攻撃を実行するための元手になります。
こうした攻撃は、まずマルウェア感染または脆弱性の悪用によって初期アクセスを実現し、次に資格情報を盗み出して権限を昇格させ、そこから水平移動するというテンプレートに沿っています。産業化されたことにより、複雑なスキルや高度なスキルがない攻撃者でも、実入りが良くて影響力が大きいランサムウェア攻撃を実行できるようになりました。Conti が稼働停止して以来、ランサムウェアの活動状況に変化が見られます。Conti をデプロイしていたアフィリエイトの中には、LockBit や Hive などの確立された RaaS エコシステムによるペイロードに移行した者と、複数の RaaS エコシステムによるペイロードを並行してデプロイすることを選んだ者がいます。
Conti の停止によって生まれた空白は、QuantumLocker や Black Basta などの新しい RaaS によって埋められつつあります。ランサムウェアについては攻撃者ではなくペイロードに注目した報道が多いため、こうしたペイロードの乗り換えにより、攻撃の背後にいる勢力の認識に関して、政府、法執行機関、メディア、セキュリティ研究者、防御担当者にはおそらく混乱が起きていると考えられます。
ランサムウェアに関するレポート作業は終わりなき規模変化との戦いのようにも思えますが、実際には、限られた数のアクターたちが、このような一群の手法を使って活動しているにすぎません。
ランサムウェアは、被害者を脅して金銭を巻き上げるために存在します。現在使われているほとんどの RaaS プログラムには、盗んだデータの漏洩も行う、二重恐喝と呼ばれる機能が備わっています。システム停止への反発が起きたことや、ランサムウェア オペレーターに対する政府の妨害が強まったことを受け、一部のグループは、ランサムウェアを断念してデータ恐喝に力を入れています。
DEV-0537 は、まったく異なる戦略とスパイ技術を採用しています。初期アクセスの確保手段としては、地下の犯罪者ルートから購入した視覚情報、または標的組織の従業員から入手した資格情報を使います。
こうした脅威アクターは、最新のテクノロジー エコシステムの中で ID と信頼関係とが相互に結びついている特性を把握したうえで、通信、テクノロジー、IT サービス、サポートの企業を攻撃し、1 つの組織からのアクセスを利用して、パートナーやサプライヤーのネットワークに入り込みます。恐喝に特化した攻撃が来ることを考えると、ネットワークの防御に携わるチームは、最終段階のランサムウェアだけでなく広い範囲を視野に入れ、常にデータの流出や水平移動に目を光らせる必要があります。
脅威アクターによる恐喝計画のポイントが、盗んだデータを秘密にしておくかどうかである場合、ランサムウェア ペイロードは、攻撃戦略の中で最も重要性が低く、価値の小さい部分になります。結局、何をデプロイするかはオペレーターの選択しだいであり、必ずしもすべての脅威アクターがランサムウェアに最大の費用をかけたいわけではありません。
ランサムウェアや二重恐喝は、巧妙な攻撃者から攻撃を仕掛けられたときの必然的な結果だと思えるかもしれませんが、ランサムウェアは "回避可能な災害" です。攻撃者がセキュリティ上の弱点に頼っているということは、サイバー衛生への投資が大いに役立つことを意味します。
Microsoft は、他社にない可視性を生かして脅威アクターの活動を把握することができます。当社のセキュリティ専門家チームは、フォーラムの投稿やチャットのリークに頼るのではなく、新しいランサムウェアの手口を研究し、当社のセキュリティ ソリューションに役立つ脅威インテリジェンスを構築しています。
複数のデバイス、ID、アプリ、メール、データ、クラウドを横断的にカバーする統合された脅威対策は、単一のサイバー犯罪者による攻撃にもかかわらず複数のアクターによるものとしてラベル付けされたケースを特定するのに役立ちます。技術、法律、ビジネスの専門家で構成される Microsoft デジタル犯罪対策部門は、法執行機関と協力してサイバー犯罪の阻止に取り組み続けています。
Microsoft では、 https://go.microsoft.com/fwlink/?linkid=2262350 で詳細な推奨事項を提案しています。
脅威インテリジェンス アナリストの Emily Hacker が、RaaS (サービスとしてのランサムウェア) の情勢変化を常に把握するために自分のチームが実行していることを語ります。
方法論: スナップショット データについては、Microsoft のプラットフォーム (Defender、Azure Active Directory を含む) とデジタル犯罪対策部門から、脅威アクティビティに関する匿名化データ (悪意あるメール アカウント、フィッシング メール、ネットワーク内での攻撃者の行動など) を取得しました。また、Microsoft 全体 (クラウド、エンドポイント、インテリジェント エッジと、侵害回復セキュリティ プラクティス チーム、検出と応答チームを含む) で毎日取得される 43 兆件のセキュリティ シグナルから追加の分析情報を取得しました。
Microsoft をフォローする