2024年3月、BlackCatランサムウェアギャングのアフィリエイトがサイバー犯罪フォーラムで苦情を訴えた。彼らはChange Healthcareへの攻撃を実行し、米国歴史上最大規模のヘルスケアデータ侵害の1つであったが、2,200万ドルの身代金支払いの取り分を決して受け取らなかった。BlackCatのオペレーターが金を奪い消え、リークサイトに偽のFBI押収通知を掲載して脱出を隠蔽した。
その不満はほぼ契約業者の紛争のように聞こえる。犯罪要素と明らかな二重交差を取り除くと、残されたもの(その兆候)は、どの会社役員でも認識できるようなものだ:供給チェーン、価格設定、競争、そして対価に見合った価値を期待する顧客を備えた商取引。今日のランサムウェアはまさにこのロジックで動作している。
しかし、外部からはそれがわかりません。訓練されていない目には、攻撃は身代金メモが付いた侵入のように見えます。誰かが侵入し、重要なファイルをロック(および盗難)し、粗野な要求を残し、報酬を待つ。明確で単純だが、ほぼ確実に不完全です。理解できるように、爆風とその特に影響がヘッドラインを引き出す一方で、それを助長したすべてのものは「カメラの外」にとどまる。しかし、それはオペレーションが最終的に表面化する場所にすぎない。攻撃を可能にし、成功させたもののの多くは、誰も見ていない場所で起こった。
失敗するには安すぎる
ランサムウェアの「ストアフロント」の背後には、一種のフランチャイズ操作、または単なるギグエコノミーがあります。労働とツール市場、サブスクリプションサービス、サプライヤーとパートナー、および関係者間の一種のサービスレベル合意を備えています。集合的に、彼らは身代金メモが到着する前から侵入への道を開く。組織がランサムウェアインシデントを、ほぼランダムな侵入、ほぼ無いから起こったかのような現象と見なすだけの場合、その防御はそれに応じて構築される可能性があります。しかし、実際には脅威がいかに豊富でイテレーティブであるかを説明できない可能性もあります。
業界は、各参加者がその(狭い)機能でのみ有能である必要があるように設計されている。ランサムウェアプラットフォームとブランドを維持する開発者は、報酬を得るために犠牲者の環境に触れる必要がない。アフィリエイトは、自分たちが収穫しなかった認証情報を使用してアクセスするためのカットまたは手数料を支払う。企業ネットワークへの足がかりを売る初期アクセスブローカーは、購入者がログインで何をするつもりなのか(知る必要もない)知る必要さえない。
しかし、一緒に、彼らはゆすりの古い「芸術」にフランチャイズのロジックを適用し、その過程で責任の重みを分割した。そしていつでも業界がこの方法で構造化されるたびに、ボリュームが続く。
ESETの検出データは、2025年の上半期で30パーセントの増加に続いて、2025年の下半期で前の6か月と比較してランサムウェアが13パーセント上昇していることを示しています。一方、Verizonの2025データ侵害調査報告書(DBIR)は、ランサムウェアを含む侵害の共有が32パーセントから44パーセントへの跳躍を記録しましたが、中央値の身代金支払いは150,000ドルから115,000ドルに低下しました。ターゲットもシフトしている。Mandinatの分析は、防御がより成熟した小規模組織への移行を示しています。
より多くの(そしてより柔らかい)ターゲットと小さな咬傷を合わせると、教科書的なボリュームプレイに相当します。
ランサムウェアはほぼランダムではない
ランサムウェアの運営は、個々の参加者が強大なスキルを持っているかどうかに関わらず、スケーリングするために構築されている。確かに、ランサムウェアアズアサービス(RaaS)として知られることが多い内部動作は、例えばファストフードチェーンのものよりもごちゃごちゃしている。調整は緩く、領土戦争は現実であり、時々公開されている。それでも、基礎となるロジックは成立している。ランサムウェア業界は、その参加者間の信頼とそれらを結合するインセンティブによって、生き死にする。インセンティブは有名に知られている他のものより結果を決定する。
それほどに分野は応じて混雑している。一般的に人間間の競争はそれ自身の形を拡大する。最初は個人間、次に家族間、次にコミュニティ間、そして国家間だ。デジタル世界では、悪名を求めて競争する個々のハッカーは、領土を求めて競争する組織化されたグループに変形し、市場シェアを求めて競争する相互接続された専門家ネットワークとなった。国境または官僚制度に妨げられず、サイバー犯罪者は正当な産業が数十年かかったアークを数年に圧縮した。
もちろん、法執行機関は静観しないで、標的型の中断は実際の不確実性を生み出し、実際のコストを課す。しかし、競争市場での会社をシャットダウンすることは市場をシャットダウンしない。インセンティブが整列したままなので、ランサムウェアグループの消滅は、その場所を占める生存者間の競争を引き起こす。新しい参入者が出現し、他の人は再ブランド化するか同僚とチームを組む。顧客は新しいサプライヤーを選ぶ。実証済みのプレイブックが生き残る。サイバー犯罪グループ間の内紛さえも、市場がその弱いプレイヤーをパージすることに相当する。広告されたとおりに機能する競争。
例えば、2024年にLockBitとBlackCatが法執行機関によって混乱したとき、彼らのアフィリエイトは主にRansomHubに移動した。2025年、当時比較的マイナーなプレーヤーだったDragonForceは、複数のライバルのリークサイトを改ざんし、当時の主要な運営であるRansomHubのサイトを削除した。RansomHubが静かになったとき、AkiraとQilinがその市場シェアを吸収した。エントリーの障壁が低いまま、ツールはサービスとして利用可能であり、労働力はそれほど使い捨て可能なため、供給が参加者に飢えることができないため、パターンが保持されている。
赤い女王のレース
サイバー犯罪は決して立ち止まらない。ファイルをロックして身代金を要求するという昔のランサムウェアプレイブックは、攻撃者が暗号化する前にコーポレートデータを盗み、少なくともハウルからのサンプルを専用のリークサイトに公開する二重恐喝に道を譲ってきた。FBIとCISAは現在、ランサムウェアを「データ窃盗と恐喝」問題として定期的に説明している。
しかし、具体的な危険も急速に変化する。ほぼ2年前、ClickFix(フェイクエラーメッセージがユーザーをだまして悪質なコマンドをコピー貼り付けして実行させるソーシャルエンジニアリング技術)はほぼ誰のレーダーにも乗っていなかった。今、それは広範であり、国家が支持するグループとサイバー犯罪グループの両方によって使用されている。
それでも、この適応速度は、実際には永遠からその版が自然に展開されていることに気づいたら、ほぼ驚くべきことではない。競争に投じられた種は、その位置を保つためにのみ継続的に適応する必要がある。捕食者はより速くなり、獲物はより速くなる。獲物はカムフラージュを開発し、捕食者はより鋭い視力を開発する。生物学は、これを赤い女王効果と呼び、ルイスキャロルの鏡の国のアリスのキャラクターにちなんで名付けられた。彼は場所に留まるだけのために走り続ける必要があります。
セキュリティ専門家は、軍拡競争や猫とマウスのゲームなど、より馴染み深い名前が過小評価されているかもしれませんが、ダイナミックを認識するでしょう。赤い女王は、もっと具体的に説明しています:もう一方の側が並行してほぼ適応するため、正味の利点を生じない適応。
その最も明確な現れは、防御者のツールと攻撃者のアンチツール間のスペースに存在する。エンドポイント検出と応答(および拡張検出と応答またはEDR/XDR)製品は、ランサムウェアアフィリエイトが侵害されたネットワーク内で実施する種類のアクティビティをキャッチするのに重要です。製品が改善されるにつれ、犯罪者はそれらを無効にするために設計されたツールの秘密市場を構築することで対応した。
そして市場がある場所には、通常、多くの製品があります。
ESETの研究者は、活動中のほぼ90のEDRキラーを追跡しています。54は同じ基礎となる技術を悪用しています。正当であるが脆弱なドライバーをターゲットマシンにロードし、セキュリティ製品をシャットダウンするために必要なカーネルレベルの権限を取得するために使用すること。この技術はBring Your Own Vulnerable Driver(BYOVD)と呼ばれ、脆弱なドライバーは商品です。同じドライバーが関連のないツール間に表示され、同じツールがキャンペーン全体でドライバー間を移行します。
EDRキラー市場は、それが提供するランサムウェア経済を反映している。これらのアンチツールは、検出に先立つために定期的に更新されるサブスクリプションベースの難読化サービスとセットで提供されます。ランサムウェア運営者ではなく、アフィリエイトは通常、どのキラーをデプロイするかを選択します。購入決定はフランチャイズレベルで行われます。防御製品が更新されると、難読化サービスが続きます。再び赤い女王。
EDRキラーへの膨大な投資は、多少反社会的に、検出ツールが犯罪ビジネスモデルに与えるダメージの最も明確な尺度である。結局のところ、あなたの利益を傷つけていない何かを無効化することを中心に、製品全体を構築することはない。
そしてアンチツールは、AIが市場を製造している中でさらにスケールする可能性があります。より広いサイバー犯罪経済について言及しないで、参加するのが簡単になります。ESETの研究者は、AIが一部のEDRキラーの開発に支援したと疑っています。Warlockギャングの商品は一つの例です。実際、ESET専門家はまた、最初のAI-poweredランサムウェアを発見しましたが、実際の攻撃ではありません。別に、他の研究者は「vibeware」と呼ぶものを文書化しました:ボリュームで生成されたAI支援マルウェアであり、使い捨てコードでターゲット環境に浸水させることを目的としており、いくつかが通り抜けることを望む。マルウェアを生成する障壁は、強大なスキルではなく、意図が制約となる地点まで低下しました。私たちがより広いサイバー犯罪シーン自体で目撃したことと非常に似ています。
市場を読む
ランサムウェアを攻撃としてのみ見ると、攻撃に対して構築された防御が生成されます。しかし、ランサムウェアを業界として考えると、追加の優先事項が焦点に入ってきます。
防御製品とアンチツール間の赤い女王のダイナミクスはどのように進化していますか?現在、どのような悪質なツール、技術、手順が回っていますか?セキュリティスタックは、現在流通しているドライバーを使用するBYOVD攻撃を撃退できますか?サプライチェーン内のMSPが侵害された場合、環境はどうなりますか?どのランサムウェア俳優があなたのセクターを積極的に標的としており、どのEDRキラーを買っていますか?
これらおよび他の関連する質問に答えられない場合、業界の出力があなたに到達する時間までに、チェーンの多くがすでに実行されている可能性があります。どのグループがあなたを標的にするか、いつ、またはどのベクトルを通じて予測することはできません。しかし、活動的なグループがどこに行くかの現在のマップを維持することができます。また、これらのパスのいずれかがあなたのドアにつながる可能性があるかどうかです。
翻訳元: https://www.welivesecurity.com/en/ransomware/what-ransom-note-doesnt-say/
