eSecurity Planet のコンテンツおよび製品の推奨事項は、編集上独立しています。パートナーへのリンクをクリックすると収益が発生する場合があります。 詳細はこちら
Nord Securityが流出したランサムウェア交渉のトランスクリプトを分析した研究によると、現代のランサムウェアグループはプロの営業組織のように行動するケースが増えていることが明らかになった。
このレポートは、攻撃者が被害者からの支払いを最大化するために、割引、アップセル戦術、心理的圧力、および交渉戦略を頻繁に使用していることを明らかにした。
このレポートは、2020年から2026年にかけてのランサムウェア運営者と被害組織の間で交わされた11,500件以上の個別メッセージを含む、流出した246件の交渉トランスクリプトを検証した。
研究によると、ランサムウェアの交渉は高度に構造化・取引化されており、混沌とした犯罪的なやり取りではなく、カスタマーサービスのやり取りに似ていることが多い。
研究者らは、交渉の結果として身代金が支払われたのは25.6%にとどまる一方、成功した和解においても、攻撃者の当初要求額から中央値で57%の割引が行われたことを発見した。
ランサムウェア交渉調査の主な結論
- 現代のランサムウェア交渉は、混沌とした犯罪的なやり取りではなく、構造化された営業・カスタマーサービスのやり取りに似てきている。
- プロのランサムウェア交渉担当者は、内部交渉を行う組織と比較して、より大きな支払い削減を実現した。
- 脅威アクターは、被害者に影響を与えるために、期限による脅迫、評判へのダメージ、盗んだデータの流出警告などの心理的圧力戦術を頻繁に使用する。
- ランサムウェアグループは、アップセル戦術、段階的な価格設定、追加の有料サービスを伴うRaaS(Ransomware-as-a-Service)モデルをますます採用している。
- 交渉中の戦略的な引き延ばしは、インシデント対応チームが脅威を封じ込め、バックアップを検証し、侵害の範囲を調査し、復旧作業を加速するのに役立つ。
プロの交渉担当者はより良い結果を得ることが多い
レポートによると、組織の約73%がプロの交渉担当者を雇う代わりに、ランサムウェア運営者と直接交渉した。
しかし、経験豊富な交渉担当者を起用した企業は中央値62.5%の割引を得たのに対し、内部で交渉を処理した組織では46.2%にとどまった。
Nord Securityの研究者は、攻撃者が交渉全体を通じて心理的操作、人工的な緊迫感、および評判への圧力に頻繁に依存していると述べた。
一般的なランサムウェアの戦術には、盗まれたデータの流出の脅し、暗号通貨による支払い指示、期限によるプレッシャー、組織の信頼と評判を傷つけることを目的としたメディアへの流出の脅しなどが含まれていた。
「攻撃者は、企業がすぐに交渉に応じると最初の要求額を25〜70%削減する『割引フェーズ』を早い段階で設けることが多い」と、レポートの中でNord SecurityのシニアThreat Intelligenceリサーチャーであるマンタス・サベックス氏は述べている。
同氏はさらに「これは営業戦術だ」と付け加えた。
この研究では、盗まれたデータの公開または流出の脅迫が分析された交渉の76.8%に登場する一方、43.5%にはメディアへの流出による評判への圧力が含まれていたことも判明した。
交渉の約42%には、被害者からより迅速な決断を強いるための期限プレッシャーも含まれていた。
ランサムウェアグループのサービスのアップセルが増加
研究者はまた、ランサムウェアグループが段階的な価格設定とアップセル戦術を伴うRaaS(Ransomware-as-a-Service)ビジネスモデルをますます採用していることも観察した。
一部のグループは、復号化ツール、データ削除、バンドルされた復旧サービス、さらにはインシデント後のセキュリティレポートに対して個別の価格を提供していた。
調査結果によると、攻撃者の21.6%がスタンドアロンの復号化ツールを提供し、16.7%がデータ削除を追加の有料サービスとして提供していた。
場合によっては、ランサムウェアグループが交渉期限の延長に追加料金を請求したり、商業サービスパッケージに類似した複数の復旧価格ティアを提供したりすることもあった。
この研究では、Akiraランサムウェアグループが関与した流出した交渉が取り上げられており、被害者には復号化支援、データ削除の証拠、脆弱性レポートに関するメニュースタイルの価格オプションが提示されたと報告されている。
研究者は、盗まれたデータの削除に関する約束は検証不可能であると注意を促した。
「データ削除の約束は一般的だが、企業が実際に削除を確認する方法はない」とサベックス氏は述べた。
戦略的な引き延ばしで組織が時間を稼ぐ
レポートはまた、被害組織が交渉中に優位性を取り戻そうとする方法も検証した。
一般的な戦術には、復号化されたテストファイルの要求、より低い価格の交渉、財政的な困難の主張、およびインシデント対応チームがシステムの調査と復旧に多くの時間を確保するための戦略的な返答の遅延などが含まれていた。
研究者は、交渉と技術的な復旧作業が並行して行われることが多く、組織がバックアップを検証し、侵害の範囲を評価し、攻撃者が環境へのアクセスを維持しているかどうかを特定できることに気づいた。
「稼いだ1時間は、インシデント対応チームが復旧を進めるための1時間になる」とサベックス氏は述べた。
この研究ではさらに、法執行機関の関与やサイバー保険の加入を開示することで、結果が改善されるどころか交渉がエスカレートする場合があることも判明した。
被害者のうち法執行機関の関与を開示したのはわずか2.8%で、これによりランサムウェアグループからより攻撃的な圧力戦術が誘発されることが多いと研究者は述べた。
ランサムウェアインシデント発生時の組織の対応方法
ランサムウェアへの対応では、技術的な封じ込め、事業継続計画、法的調整、そしてコミュニケーション管理を同時に行う必要が生じることが多い。
セキュリティチームは、フォレンジック証拠の保全、侵害範囲の検証、そして復旧作業が進行中の間も運用上の可視性を維持することに注力すべきである。
Nordのレポートはまた、交渉活動がインシデント対応チームに影響を受けたシステムを調査し、バックアップの整合性を検証するための貴重な時間を提供できることも強調している。
- フォレンジック証拠を保全し、さらなる横展開を防ぐために、電源を落とさずに影響を受けたシステムをネットワークから隔離する。
- 直ちにインシデント対応手順を起動し、法務、経営幹部、サイバー保険プロバイダー、および外部対応パートナーと連携する。
- バックアップの整合性を検証し、データが外部に持ち出されたかどうかを判断し、攻撃者が依然として環境へのアクセスを維持しているかどうかを評価する。
- 継続的な攻撃者の活動を監視し、システム全体にわたる永続化メカニズム、不正なリモートアクセス、および追加の資格情報侵害を確認する。
- フォレンジック調査と復旧作業を支援するために、身代金要求メモ、交渉ログ、侵害の痕跡、および影響を受けたシステムのデータを保全する。
- 不必要な開示を避けながら、封じ込め、調査、修復、および復元作業のための時間を稼ぐために、交渉活動を戦略的に活用する。
- アクティブなインシデント発生時の回復力を高めるために、ランサムウェア対応、封じ込め、バックアップ復元、危機コミュニケーション計画を定期的にテストする。
このレポートはまた、ランサムウェア交渉が専門化された攻撃の役割とサービスを中心に構築された、より広範なサイバー犯罪エコシステムの一段階に過ぎないことも強調している。
恐喝プロセス自体を超えて、流出した交渉はランサムウェアが展開される前に、脅威アクターが被害者の環境へのアクセスを最初に取得する方法についての洞察を提供した。
初期アクセスブローカーがランサムウェア攻撃を牽引し続ける
交渉行動を超えて、このレポートはランサムウェアグループが被害者の環境を最初に侵害する方法についての洞察も提供した。
最も一般的に開示されたエントリ手法は、初期アクセスブローカー(IAB)から購入したアクセスで、分析された31件のケースに登場した。
その他の頻繁に開示された攻撃ベクターには、侵害されたVPNまたはリモートデスクトッププロトコル(RDP)インフラストラクチャ、Active Directoryサービスアカウントを標的としたKerberoasting攻撃、ブルートフォース攻撃、およびフィッシングキャンペーンが含まれていた。
この調査結果は、初期侵害、資格情報アクセス、マルウェア展開、交渉、および恐喝活動を、より広範なサイバー犯罪サプライチェーンの一部として別々の犯罪グループがますます担うようになっているランサムウェアエコシステムの商業化と専門化の進展を浮き彫りにしている。
翻訳元: https://www.esecurityplanet.com/threats/ransomware-negotiations-mirror-aggressive-sales-tactics/
