出典:incamerastock(Alamy Stock Photo経由)
「ランサムウェア・カーテル」と呼ばれるDragonForceは、RansomHubの統合が明らかになったことで、前四半期に大きく成長しました。
これは、本日公開されたCheck Point Researchの2024年第2四半期ランサムウェアレポートに基づくもので、より広範なランサムウェアエコシステムへの洞察が含まれています。レポートでは、RansomHub、Babuk-Bjorka、Cactus、Lockbitなどの著名なランサムウェア・アズ・ア・サービス(RaaS)グループの大規模な消失、公に発表された被害者数の減少、攻撃者の手法の複数の変化が観察されました。
特に興味深い発見のいくつかは、DragonForceに関するものでした。同グループは「カーテル」ホワイトラベリングモデルを販売するRaaSギャングです。収益分配プログラムの一環として、DragonForceはアフィリエイトが独自の名称やブランドで活動しながら、ギャングのインフラを活用できるようにしています。
新たなグループの傘下入りや、ここ数カ月の被害者増加から、DragonForceが上昇傾向にあることは明らかです。
炎と共に突き進む
2023年に登場したDragonForceは、アフィリエイトモデル、マーケティングやアウトリーチへの注力、そして数々の著名な攻撃によって急速に悪名を高めました。同ギャングは、複数の英国大手小売業者への攻撃の犯行声明を今年初めに出しており、5月にはSophosが、DragonForceがマネージドサービスプロバイダー(MSP)のリモート監視・管理(RMM)ツールをサプライチェーン攻撃の一環としてハッキングした詳細を明らかにしました。
Check Point Researchは、レポート内で、DragonForceがダークウェブのリークサイトで250人以上の被害者を主張しており、今四半期だけでも58件に上ると指摘しています。これはQilin(207件)やAkira(143件)には及びませんが、法執行機関の介入やグループの統合を受けて業界の勢力図が再編されていることを示しています。
かつてランサムウェア界で有力だったRansomHubは、4月に姿を消しました。その直後、DragonForceは「旧グループがDragonForceプラットフォームに活動を移し、カーテルイニシアチブに参加した」と主張したとCheck Pointは述べています。同グループは、RansomHubのバックエンドとされるスクリーンショットを公開してこれを裏付け、CPRは4月と6月にDragonForceの被害者報告が顕著に増加したと指摘しました。
同グループは、より厳格な審査プロセスを導入することで、さらに高度な手法を示しました。
「この拡大と並行して、DragonForceは法執行機関の監視強化に対応し、より厳格なアフィリエイト審査プロセスを発表しました。4月には『倫理的』な境界線を再確認し、医療機関への攻撃を明確に禁止し、目的は金銭的利益であり危害を加えることではないと述べました」とCheck Point Researchは述べています。「彼らの言葉を借りれば、『我々は殺すためにここにいるのではない――金を稼ぐためにいるのだ』」
レポートは、これは暗号化ベースの恐喝からデータ窃取への傾向の変化を反映していると述べています。暗号化や医療機関への攻撃は、たとえば非重要サービスプロバイダーへのデータ窃取攻撃よりも、法執行機関の注目を集めやすいからです。
Check Point Softwareの脅威インテリジェンスグループマネージャー、Sergey Shykevich氏は、DragonForceの台頭はカーテルモデルによる市場ポジションの確立とマーケティングへの注力の成功によるものだとDark Readingに語りました。調査によれば、一時期Rampサイバー犯罪フォーラムがロゴにDragonForceの名前を追加したこともあったとのことです。
「DragonForceは、より迅速かつ大きな成長を目指し、大胆で目立つ公的なアプローチを取っています」と彼は述べています。
AIとQilin
レポートの他の興味深いセクションとしては、Qilinとランサムウェアにおける人工知能の利用が挙げられます。
CPRは、ランサムウェアグループが大規模言語モデル(LLM)ツールを運用の一部として使用することを選択した事例を強調しました。研究者によれば、FunkSecはマルウェア開発にAIを使用し、Xanthoroxは以前AI生成のランサムウェア亜種を作成しました。さらに第2四半期にはGlobal Group(別名El DoradoおよびBlacklock)が登場しました。大規模なグループではありませんが(前四半期の被害者は17件)、そのRaaSサービスには「AIによる交渉支援」が含まれています。
「これは、AIを使って心理的圧力を微調整し、やり取りを自動化し、恐喝の成果を向上させることへの関心が高まっていることを示唆しています」と研究者らは述べています。
一方Qilinは、RansomHubのデータリークサイトがオフラインになったことで大きな恩恵を受けました。アフィリエイトたちは新たなギャングとの提携先を必要としたためです。「多くがQilinに活動を移したようで、Qilinは2025年第2四半期に活動をほぼ倍増させ、月平均35件からほぼ70件の被害者に跳ね上がりました」とCheck Point Researchは述べています。
「Qilinは最も確立されたRaaSグループの一つであり、2022年以降継続的に被害者を公表しています。アフィリエイトには、暗号化ツール、交渉インフラ、サポートサービスを含む専用管理パネルを通じて包括的なツールキットを提供しています」とレポートは述べています。「RansomHub消失後、QilinはRampフォーラムでのリクルート活動を強化し、さまざまな機能強化をアピールしました。これには新たな統合DDoS機能や交渉コンサルティングが含まれ、恐喝段階で被害者への圧力を最大化することを目的としています。」
Qilinが提供するこの「圧力」には、アフィリエイトが入手した盗難データを精査し、規制上の問題を見つけて関連法執行機関に通報できるようにする法的支援も含まれます。
Dark ReadingはShykevich氏に、脅威グループの統合(現実世界の企業のように)が進むことがサイバー犯罪エコシステムの成熟を示すのかどうか尋ねました。「現実世界とサイバー犯罪の間には多くの類似点がありますが、サイバー犯罪の世界では状況はより複雑です」とShykevich氏は述べています。「一方で統合を試みる動きがある一方、法執行機関による摘発やその他の要因により、大手ブランドの消失や明確なリーダー不在の断片的なエコシステムも見られます。」