レポート: Ransomware-as-a-Service は「自立産業」です

公開: 2022-06-24

新しいレポートは、インターネットのランサムウェア エコシステムの複雑さを明らかにしており、ランサムウェア グループと協力して活動している攻撃者は、現在よりも多くの注意を払う必要があると結論付けています。

このレポートでは、脅威アクターが無数の恐喝手法を (多くの場合、組み合わせて) どのように展開しているかを詳しく説明しています。これは、企業がデータを保護および/または取得するための交渉を行い、最終的には料金を支払うように強制するためです。

ランサムウェア グループが最も一般的に使用する攻撃ベクトルを理解することで、企業は自らを守るための行動をとることができます。 たとえば、パスワード マネージャーは、企業の従業員が脆弱なアカウント資格情報で簡単に侵入できないようにする 1 つの方法です。

サービスとしてのランサムウェアが急成長中

Tenable のレポートでは、最近のランサムウェア ブームの背後にある主な理由は「サービスとしてのランサムウェア (RaaS) の出現」であると説明しています。

本質的に、RaaS は Software-as-a-Service と同様にサービス モデルです。 ランサムウェア グループがソフトウェアを作成しますが、その後、他のアクターがシステムに侵入して展開することになります。

これ以前は、プロセスのすべてのアクションを実行するのはランサムウェア グループ自体でしたが、現在ではシステムが非常に複雑になり、小規模なアクターがお金を稼ぐことができるさまざまな段階があります。

ランサムウェア エコシステムの説明

Tenable は、重要なことに、ランサムウェア エコシステムはランサムウェア グループだけで構成されているわけではないと説明しています。 ランサムウェア グループは「製品」の作成者であり所有者であり、多くの注目を集めていますが、概して、ほとんどのランサムウェア攻撃で役割を果たす 3 つの主要な「役割」を特定しています。IAB、アフィリエイト、ランサムウェア グループです。

初期アクセス ブローカー (IAB) は、「さまざまな手段を通じて組織へのアクセスを取得する責任を負うサイバー犯罪者の専門グループ」です。

不当なアクセスを使用して独自のランサムウェア攻撃を調整する代わりに、レポートは説明しています。

IAB の市場は 2019 年に 160 万ドルの価値がありましたが、2021 年には 710 万ドルに成長しました (グループ IB)。 これは、ランサムウェア チェーンの他の場所で稼いだ金額よりもはるかに少ない金額です。単純に、リスクがはるかに少ないためです。

初期アクセス ブローカー (IAB) の市場は、2019 年には 160 万ドルの価値がありましたが、2021 年には 710 万ドルに成長しました – Group-IB

IAB が侵入した後、アフィリエイトとして知られるアクターがマイニングしたアクセス権を数百ドルから数千ドルで購入します。 または、ブルート フォースのリモート デスクトップ プロトコル システム、フィッシング、システムの脆弱性、盗まれた資格情報などの攻撃ベクトルを使用して、会社のサーバーに侵入します。

レポートによると、これらのアクターは、通常の正当なビジネス慣行でリードを見つけるアフィリエイト マーケティング担当者と同じように機能し、システムに感染して、ランサムウェア グループに「取引を成立させ」、交渉プロセスを開始させます。

アフィリエイトは、多くの場合、ランサムウェア グループ自体から指示を受けており、作成したものをテストして利用するのに役立ちます。

「2 倍」、「3 倍」、「4 倍」の恐喝で企業が支払う方法

従来、ランサムウェア グループは企業のファイルを暗号化し、それらを復号化するために料金を支払わせていました。 しかし、今日では、ほとんどの企業が安全なファイル バックアップを行っているため、この方法はますます効果がなくなりました。

しかし、ここ数年で、「二重恐喝」が多くのランサムウェア グループの標準になりました。 これは、ダーク Web フォーラムやリーク Web サイトでの「被害者組織からのデータの抽出とティーザーの公開」で構成されます。 個人情報や機密情報がオンラインで漏洩することを恐れた企業は、その後支払いを行います。

2021 年、REvil は JBS から1,100 万ドルの支払いを確保しましたが、支払いの時点で同社のシステムは「完全に稼働」していました。

ただし、この戦術は現在数年前のものであり、Tenable によると、「3 倍」または「4 倍」の恐喝の試みでは、他の手法が互いに連携して使用されているとのことです。

方法には、盗まれたデータが参照する顧客に連絡する、盗んだデータを最高額入札者に売ると脅す、法執行機関に連絡しないよう被害者に警告するなどがあります。

ランサムウェア グループ以外にも焦点を当てる

レポートは、ランサムウェア エコシステム内で IAB と関連会社が果たす重要な役割にもっと注意を払う必要があることを示唆しています。

ランサムウェア グループは、本質的に永続的ではありません。 彼らが成功すればするほど、より多くのアフィリエイトが彼らに向けてピボットし、彼らのソフトウェアを使用したいと思うようになりますが、その結果、より多くの法執行機関が彼らを追跡しようとします.

Contiグループのように、今日の見出しを飾っている「悪名高い」ランサムウェア グループの多くは、他のランサムウェア グループの後継者です。 グループの調査を開始した場合、1 年後には存在すらしていない可能性があります。 ただし、IAB と関連会社はそうするでしょう。

企業は自分自身を守るために何ができますか?

Tenable は、企業が恐るべきランサムウェア攻撃の次の犠牲者にならないようにするために実行できるさまざまな緩和策を提供します。 これらには、多要素認証の使用、アカウントのユーザー権限の継続的な監査、ネットワーク内の脆弱な資産へのパッチの適用、リモート デスクトップ プロトコルの強化、適切なウイルス対策ソフトウェアの使用が含まれます。

このリストには、従業員のパスワードを強化することも含まれており、「パスワード要件には、長くて辞書に載っていない単語が含まれています」とアドバイスされています。 パスワードを覚えなくても十分な長さのパスワードを確保する 1 つの方法は、パスワード マネージャーを使用することです。これにより、スタッフはパスワードを再利用するのではなく、所有するすべてのアカウントに対して一意のパスワードを作成することもできます。

RaaS 市場 (およびそこに参加する悪意のあるグループ) が減速の兆しを見せていないため、データに対して最大限の予防措置を講じることがこれまで以上に重要になっています。