新たに提案されたサイバー犯罪サービスは、ランサムウェア攻撃から盗まれたデータをより収益性の高い商品に変えることを約束しており、ハッカーが彼らが蓄積してきた膨大な個人情報をスケールで体系的に悪用し始める可能性があるかどうかについて、新たな懸念を引き起こしている。
Leak Bazaarの広告は暗黒Web上の複数の犯罪フォーラムに掲載されており、このサービスは顧客とアフィリエイトを勧誘しています。サイバーセキュリティ企業Flareの最近のブログで説明されているように、典型的なハッキングまたはランサムウェア・アズ・ア・サービス業務よりも、データ処理ビジネスに近いものとして自らを位置付けています。
正当なデータ処理企業のように、Leak Bazaarの目標は、サイバー攻撃で盗まれた広大で混沌としたデータセットを、販売または脅迫に使用できる構造化された検索可能なインテリジェンスに変えることです。
「これは実質的には盗まれたデータのための電子証拠開示サービスです」と、Flareの研究者でありその会社のブログ記事の著者であるTammy Harperは述べています。
このアイデアは、ランサムウェアエコシステムに取り組んできた法執行官とサイバーセキュリティ専門家の間で長年にわたる懸念を物語っています。
攻撃者は定期的に膨大な情報量(企業秘密、財務記録、個人データ)を盗みますが、その多くは脅迫のための担保以外に完全に使用されることはありません。
「LockBitの破壊は、グループが約束したときにデータを削除しなかったことを証明しました」と、ロンドンの大都市警察の経済・サイバー犯罪責任者であり、以前はイギリスの国家犯罪局のLockBit作戦に携わっていたWill Lyneは述べています。
「これは脅迫行為がそれに価値があることを知っていることを示しています。サイバー犯罪者がランサムウェア作戦で得たデータを悪用することが可能であると常に考えていました。それは実行可能なビジネスモデルになる可能性があります。利用されていない膨大な量のデータがあります」とLyneは付け加えました。
Leak Bazaarは、盗まれたデータをより的を絞ったもの、そして潜在的により有害なものに処理することによって、その価値を解き放つ試みを表します。
Lyneは、リスクは3つの主な領域に分かれていると述べました。企業に支払いを強要するためにより多くの影響力を与え、詐欺やビジネスメール詐欺などの二次犯罪を可能にし、最も懸念されるのは、犯罪者が支払わない限り機密データを公開すると脅すことで個人から直接脅迫することを許可することです。
機密個人情報を使用して犯罪者が個人に直接連絡するこの最終的なシナリオは長い間議論されていますが、スケールで観察されることはめったにありません。より構造化されたデータセットは、標的を絞ったフィッシングや詐欺を実行することもより容易にする可能性があります。
「では、この データをすべてどうしますか?」とHarperは述べました。「その多くは役に立たないもので終わります。これらのサービスはそれをフィルタリングしてパッケージ化し、より関連性のあるものにしようとしているので、漏洩の品質は実際に増加します。」
Harperによると、このモデルはランサムウェアエコシステムの広範な変化を反映しています。法執行の圧力が主要なグループを破壊したため、風景は断片化され、より多くのアクターがスペースに参入して、お金を稼ぐための新しい方法を試験しています。
「彼らは脅迫を最大化しようとしています」と彼女は述べました。「議論は常に何が最も効果的かでした。システムをロックするかデータを盗むかです。そして答えは、それは被害者によって異なります。何がより傷つきますか?」
その実験により、盗まれたデータ自体がどのように金銭化されるかについての関心の増加につながりました。交渉での支度金として使用されるだけでなく、処理および再利用されています。
スケールの問題
ただし、個人データがその転換の鍵であるかどうかは不明なままです。ランサムウェア攻撃でのデータ盗難の規模にもかかわらず、犯罪者が個人情報をスケール上で体系的に悪用していることについては限定的な証拠があります。ほとんどの専門家は、そのような個人的な脅迫は現在エコシステムを駆動している経済に反対すると信じています。
「この文脈では、個人データからの巨大な犯罪金銭化リスクを実際に見ていません」と、2024年にランサムウェアの害について詳述した論文を発表した王立連合サービス研究所の研究者Jamie MacCollは述べています。「攻撃者は、脅迫に使用したり、他のシステムへのアクセスを得るために使用できる企業データ、つまりはるかに興味があります。」
その好みは、ランサムウェアの基本的な経済を反映しています。各データセットから最大値を抽出するのではなく、ほとんどのグループは量で動作し、多数の被害者を標的にし、わずかな割合だけが支払うことを受け入れます。
「それはスケールを達成し、十分な被害者へのアクセスを持つことです」とMacCollは述べました。「彼らは毎回成功しないという基準で動作していますが、彼らが時間の20パーセントで成功すれば、それは依然として数十億ドルです。」
「それは個々のデータセットの深さを分析するために時間を費やすだけの運用モデルに本当に適合していません」と彼は付け加えました。
Harperは、別の角度から同じ経済的制約を指摘しています。盗まれたデータから価値を抽出するために必要な単なる努力です。
「それは多くの仕事です」と彼女は述べました。「アクセスを取得し、貴重なデータを見つけ、流出させ、脅迫を実際に実行する必要があります。そして、すべてそれ以降も、支払われない可能性があります。」
交渉の失敗は一般的であり、彼女は付け加えた、大量の盗まれたデータを残すグループは保存するのに費用がかかり、金銭化するのが難しい。
「それは、これらのサービスが来るところです」とHarperは述べました。「彼らは基本的にデータを調べ、ノイズを減らし、より的を絞ったものにすることを提供しています。」
そのアプローチが実行可能であることが判明した場合、研究者は盗まれたデータがどのように使用されるか、および違反によって引き起こされた害を増加させることができると言っています。しかし、モデルが離陸する理由があると彼らは言っています。
「本当にこれが重要な市場を駆動するのを見ることができる唯一の方法は、犯罪者の現在のお金の稼ぎ方が失敗し始めた場合です」とMacCollは述べました。「ほとんどの犯罪者は、最も低い努力の活動を最大の利益を生み出すことを続けるつもりです。そして今、彼らがしていることはまだかなり良く働いています。」
実用的なバリアもあります。新しいAI技術によって提供される進歩があっても、大規模なデータセットの処理には、インフラストラクチャ、コンピューティング能力、帯域幅が必要であり、すべてが高価です。
そして、買い手が盗まれた認証情報をテストできる従来のサイバー犯罪市場とは異なり、Leak Bazaarのようなサービスは、本質的に信頼できないエコシステム内の参加者間のより高いレベルの信頼が必要です。
「なぜ、現在エコシステム内で利用可能なもので、より簡単により多くのお金を稼ぐことができるのかを気にします」とLyneは述べています。
今のところ、概念はほぼ実証されていません。Harperは、実際のテストは、サービスが最初の実証ケースを生成するときに来ると述べました。データが処理されるだけではなく、そうすることが意味のある利益につながることを示しています。
「私たちが待っているのは最初の被害者です」とHarperは述べました。「それは、私たちがこれが実際に実践でどのように見えるかを見るときです。」
その時まで、Leak Bazaarは、現在のサイバー犯罪経済を駆動する要因が、脅迫で盗まれたデータからの収益を最大化する必要性を示唆していないとしても、サイバー犯罪エコシステムで継続的な実験を知らせています。
「それが引き継ぐと思いますか?いいえ、必ずしもそうではありません」とLyneは述べました。「しかし、それが来ているように感じます。」
翻訳元: https://therecord.media/new-criminal-service-plans-to-monetize-ransomware-data
