Ivelin Radkov / Alamy ストックフォト
ランサムウェアギャングの成功が続いていることは、多額の身代金支払いや財務的な打撃、長期にわたる業務停止といった報告から、十分に裏付けられている。毎年、特定のグループが上位に浮上しており、彼らを他と隔てている要因は次第に明らかになりつつある。
成功は、金銭的な利益、ブランドの評判、被害者のダウンタイム、活動量、そしてランサムウェア・アズ・ア・サービス(RaaS)モデルにおいてはアフィリエイト(加盟者)の数など、さまざまな指標で測ることができる。その有効性は、過去5年間に記録された一貫して警戒すべき数字によって浮き彫りになっており、この脅威は企業防御に対抗する形で進化し続けている。しかし、調査によって、トップクラスのRaaSグループの成功に寄与している要素が明らかになりつつあり、それがセキュリティ戦略に影響を与え得ることも分かってきた。最大のハードルは、攻撃者の進化の速さに追いつくことだ。
自動化:スピードが命
ReliaQuest の最近の調査では、ランサムウェアの成功を、グループのデータリークサイトに掲載された被害者の数で測定している。脅威アクターはデータリークサイトを使って、被害者を公然と晒し上げることで身代金の支払いを迫り、この追加のプレッシャーがグループにとって功を奏している。これらの指標に基づき、ReliaQuest は成功しているランサムウェアグループには3つの側面があることを突き止めた。ReliaQuest は Qilin ランサムウェアを「市場のリーダー」と位置づけ、LockBit 5.0 が勢いを増していると警告している。
関連記事:GlassWorm が再登場、VS Code 拡張機能に再び侵入
「自動化、カスタマイズ、高度なツール群を基盤とするランサムウェアプラットフォームは、最も熟練したアフィリエイトを惹きつけ、データリークサイトの被害者数から判断するに、最も成功している RaaS グループを生み出しているようだ」と ReliaQuest はレポートの中で述べている。
自動化は最も重要な要素を構成している。研究者らは、分析対象とした RaaS グループの 80% が、自身のプラットフォームに何らかの自動化や人工知能(AI)を組み込んでいることを発見した。自動化は攻撃のスピードを加速させることで、その有効性に寄与している。平均ブレイクアウトタイム(侵入から横展開開始までの時間)は現在18分であり、防御側が対応できる時間は大幅に短くなっているとレポートは指摘する。
ランサムウェアグループは AI をどう使っているのか?
他の研究者たちも同様の傾向を観測している。グループは攻撃の成功を高めるために AI を利用するケースを増やしているものの、その戦術はまだ初期段階であり、採用状況も一様ではないと、Rapid7 の脅威インテリジェンス&アナリティクス担当シニアディレクターである Christiaan Beek 氏は説明する。ランサムウェア集団は、主に偵察の高速化、より説得力のあるフィッシングの作成、あるいはオペレーションの一部自動化を目的として AI を試験的に活用している。しかし、攻撃者の思考様式はそれ以上のスピードで進化していると同氏は言う。
「攻撃者は、自動化とデータ駆動型のターゲティングを組み合わせた、AI 駆動のワークフローで物事を考え始めています」と Beek 氏は Dark Reading に語る。「それによって彼らが無敵になるわけではありませんが、より高速で、適応力が高く、予測しづらい存在にはなっています。」
関連記事:ClickFix キャンペーンがホテルを標的に、二次的な顧客攻撃を誘発
偵察やソーシャルエンジニアリングにおける脅威アクターによる AI の利用拡大と高収益化については、複数のレポートが発表されている。ランサムウェアグループもまた、ターゲット選定を自動化し、これまで以上のスピードでオペレーションを拡大するために AI を利用していると、SentinelOne の脅威リサーチャーである Tom Hegel 氏は述べる。AI の進歩は参入障壁も下げており、スキルの低いアフィリエイトでも高度なキャンペーンを実行できるようになっている — その結果、ランサムウェアの生態系はさらに拡大している。
「完全自律型のランサムウェアオペレーション(試作段階のものを除く)はまだ目にしていませんが、AI 駆動の自動化によって、すでにブレイクアウトタイムは短縮され、全体的な成功率は向上しています」と Hegel 氏は語る。「スピード、スケール、レバレッジを軸に構築されたエコシステムにおいて、AI はさらなるフォースマルチプライヤー(戦力倍増要因)となっているのです。」
EDR 回避戦術に要注意
カスタマイズも成功のもう一つの原動力であり、ReliaQuest が分析した RaaS グループの 60% がこれを提供している。その重要性は、「攻撃中にランサムウェアの挙動を動的に変化させられる」点にある。例えば、暗号化の強度やスピードを優先するかどうかを攻撃者が選択できる。暗号化の強度を高めれば、組織が身代金を支払わずにデータを復旧することがより困難になる一方、暗号化のスピードを上げれば、マルウェアがより多くのファイルに拡散するため、脅威を封じ込めることが難しくなる。
関連記事:SonicWall ファイアウォールのバックアップが国家主体のアクターに窃取される
高度なツール群は 3 番目の要素であり、分析対象となったランサムウェアグループの 50% のみが自らのプラットフォーム上でこれらの機能を提供している。しかし、防御策がどれだけ導入されていようとも、企業にとって重大なリスクとなる。
「トップクラスのグループは通常、侵害されたエンドポイント上で EDR(エンドポイント検知・対応)やアンチウイルスツールを回避・無効化できるスクリプトや、ランサムウェア展開中に組織のバックアップを削除するためのツールを提供しています」とレポートは述べている。
ランサムウェアそのものを使わない手口
武器化されたインテリジェンスもまた、RaaS オペレーターの成功率を押し上げている。最も収益性の高いグループは、被害者のクラウドデータを収集し、財務や保険の状況を把握し、業種ごとのセンシティビティを評価するためにインテリジェンスを活用し、それに合わせて恐喝要求を調整していると Beek 氏は説明する。
多くのケースで、Rapid7 の研究者たちは、彼らがランサムウェアのバイナリ自体の使用を完全に見送る様子を観測している。その代わりに、盗み出した被害者データを公開すると脅すだけで、支払いを引き出すには十分だった。
「例えば、最近では Crimson Collective が、恐喝目的で AWS 環境からのデータ窃取に注力していることを確認しました。一方 Clop は、常に暗号化バイナリに依存するのではなく、エンタープライズアプリケーションの脆弱性悪用に紐づく大規模なデータ窃取型恐喝キャンペーンを展開してきました」と Beek 氏は述べる。
総じて、RaaS の運営モデルは成功するように設計されている。オペレーターは信頼性の高いツール群、リークサイト、支払いインフラを構築し、アフィリエイトは侵入と恐喝に専念すると Hegel 氏は説明し、この分業体制がオペレーションを大規模にスケールさせていると付け加える。このエコシステムは、初期アクセスブローカー、マルチエクストーション戦術、強固なオペレーショナルセキュリティ、テイクダウンに耐える分散型インフラから成り立っている。
「その結果として、SaaS(ソフトウェア・アズ・ア・サービス)企業並みの効率性を備えた、反復可能でスケーラブルな“企業”が生まれているのです — ただし、法の“向こう側”にある企業ですが」と Hegel 氏は語る。
まだ「三拍子そろった」脅威ではない
ReliaQuest のレポートから得られる明るい材料として、「分析対象となった RaaS グループのうち、完全な三位一体の能力を備えているのは半数未満である」という点が挙げられる。レポートは最も成功しているランサムウェアギャングを取り上げているものの、研究者たちは、個々のグループではなく、エコシステム全体と、その中で共有されている戦術・技術・手順(TTP)に焦点を当ててセキュリティ戦略を構築するよう企業に促している。
取るべきアクションとしては、攻撃者のスピードアップに歩調を合わせるための自動化された封じ込めとレスポンスプレイブックの実装、被害範囲(ブラストレディアス)を制限するための厳格なネットワークセグメンテーションの徹底、高度化した攻撃者ツール群を前提に可視性を強化する戦略の策定などが挙げられる。
筆者について
特集ライター, Dark Reading
Arielle は過去 10 年間、記者として活動しており、ヒューマンインタレストストーリーから 2020 年にはサイバーセキュリティ全般の取材へと軸足を移した。現在は Dark Reading の特集ライターとして、企業が日々直面しているセキュリティ課題を掘り下げ、背景となる文脈と実行可能な対策を提示することを目指している。以前はフロリダに在住し、Tampa Bay Times で執筆していたが、その後ボストンに戻り、SearchSecurity でサイバーセキュリティ分野のキャリアを本格的にスタートさせた。サイバーセキュリティについて執筆していないときは、ミステリー小説や詩集といった個人的なプロジェクトに取り組んでいる。
