ランサムウエア、取り分不満の攻撃者が「虎の巻」流出

ランサムウエア、取り分不満の攻撃者が「虎の巻」流出
https://www.nikkei.com/article/DGXZQOUC263860W1A820C2000000/

 ※ 『「RaaS(ランサムウエア・アズ・ア・サービス)」』とか、ヤレヤレかつウンザリな話しだ…。

 ※ しかも、「取り分」巡る「なかま割れ」で、仲間の「攻撃虎の巻」を流出させたんだと…。

 ※ 全く、「仁義」も「信頼」も、へったくれも無い話しだ…。

 ※ まあ、最初から、そういう「人間性」とは「無縁」の、「修羅の世界」での話しなんだろうが…。

『世界中でランサムウエア(身代金要求型ウイルス)攻撃の被害が相次いでいる。理由の1つが「RaaS(ランサムウエア・アズ・ア・サービス)」の存在である。RaaSはランサムウエア攻撃を支援するクラウドサービス。RaaSを利用すれば、手間をかけずにランサムウエア攻撃を仕掛けられる。

2021年8月、このRaaSを巡ってある事件が発生した。大手RaaSが利用者に提供している攻撃マニュアルが流出したのだ。「虎の巻」といえる資料だ。ロシア語のアンダーグラウンドフォーラム「XSS.is」においてダウンロードできる状態になっていた。

RaaSの「虎の巻」へのリンクが張られた投稿。現在ではダウンロードできない(画像は一部修整 出所:XSS.is)

一体誰が、どのような理由で流出させたのだろうか。

RaaS、脅迫のプラットフォーム提供

ランサムウエアはコンピューターに保存されたデータを暗号化して使用不能にするマルウエア(悪意のあるプログラム)の総称。データを暗号化した後、元に戻したければ金銭(身代金)を支払うよう画面に表示する。

ランサムウエアのイメージ(出所:日経NETWORK)

数年前までは、ランサムウエア攻撃は単純だった。メールやネットワーク経由で不特定多数のコンピューターにランサムウエアを感染させていた。身代金は数万円程度と、個人でも払える額が設定されていた。いわば、薄く広く稼ぐ戦略だった。

ところが20年前後から戦略が大きく変わった。多額の身代金を支払える企業や組織を狙う標的型になった。データを暗号化されると業務を継続できなくなる。このため多額であっても身代金を支払うだろうと攻撃者は考えた。

これに対抗するため、バックアップの重要性が以前にも増して高まった。バックアップを取っていれば、データを暗号化されても復旧できる。ランサムウエア対策としてデータバックアップの体制を整えた組織は多いだろう。

そこで攻撃者が打った次の手がデータの窃取である。暗号化する前にデータを盗み出すのだ。身代金を払わないとデータの復号に必要なツールや情報を渡さないばかりか、そのデータを公開すると脅す。いわゆる暴露型ランサムウエア攻撃である。2重脅迫型ランサムウエア攻撃などとも呼ばれる。

ランサムウエア攻撃者グループ「MAZE(メイズ)」が窃取データを公開していたウェブサイト(画像は一部修整 出所:MAZE)

まずは盗んだデータの一部を公開して、身代金を払わないと全データを公表すると脅す手口もある。

大がかりになる一方のランサムウエア攻撃。もはや個人では実施できなくなっている。例えば、ある企業・組織のネットワークへの侵入方法を知っている攻撃者であっても、セキュリティー製品に検知されないランサムウエアや、窃取したデータを暴露する場を用意するのは容易ではない。

そこで登場したのがRaaSだ。RaaSはランサムウエアを単に貸し出すだけではなく、脅迫のプラットフォームも用意する。例えば、米石油パイプライン最大手のコロニアル・パイプラインの攻撃に使われたRaaSは4重の脅迫機能を備えていた。

【関連記事】「ダークサイド」の正体 3つの意味と4重の脅迫
具体的には、盗んだデータを公表する場や、データを暗号化するランサムウエアを利用者となる攻撃者に提供。さらに大量のデータを送信するDDoS攻撃を仕掛けたり、脅迫電話をかけたりする機能も提供する。

利用者は、RaaSが用意する管理パネルから様々な機能を利用できる。身代金の支払先もRaaSが用意する。このため身代金の支払い状況も管理パネルで確認できる。至れり尽くせりといえるだろう。

ランサムウエア攻撃者グループ「Darkside(ダークサイド)」が運営していたRaaSの管理パネル(出所:米ファイアアイ)

RaaSの利用者はアフィリエイトやアフィリエイターなどと呼ばれる。アフィリエイトが実際の攻撃を担当。RaaSはそのためのプラットフォームを提供する。

多くの場合、RaaSの料金は成功報酬型だ。RaaSは支払われた身代金の10%から30%を受け取り、残りはアフィリエイトが受け取る。

アフィリエイトとRaaSを運営するランサムウエア攻撃者グループは、ランサムウエア攻撃という犯罪の共犯者であり、両者にはある種の信頼関係が構築されているものと思っていた。

だが所詮犯罪者。信頼関係などないようだ。前段が長くなってしまったが、冒頭の虎の巻を流出させたのはアフィリエイトの1人だった。理由は身代金の取り分に対する不満だった。

「1500ドルしか支払わなかった」
RaaSを運営するランサムウエア攻撃者グループによっては、ネットワークへの侵入やネットワーク内での展開(ラテラルムーブメント)に関するマニュアル(虎の巻)をアフィリエイトに提供している。ランサムウエア攻撃の成功率を高めるためだ。

今回流出したのは、「Conti(コンティ)」というランサムウエア攻撃者グループが運営するRaaSの虎の巻だ。

虎の巻を流出させたアフィリエイトの投稿によると、Contiはアフィリエイトに1500ドルしか支払わなかったという。約束の金額がいくらだったのかは明記されていないが、書き込みの内容からすると大きな差があったとみられる。

アフィリエイトによる投稿(画像は一部修整 出所:XSS.is)

アフィリエイトは「やつらはアフィリエイトを『カモ』にしている」などとContiを罵るとともに、攻撃サーバーのIPアドレスなどが写り込んだ画像を公開。その後、虎の巻をストレージサービスにアップロードして、そのURLを投稿した。記事の冒頭で書いた通りである。

報道などによれば、流出したファイルは113メガバイトの圧縮ファイル(メディアによっては「111メガバイト」としている)。圧縮ファイルには37のファイルが含まれていて、それらにはネットワークへの侵入やラテラルムーブメントの際に有用なツールの使い方などが書かれているという。

内容のほとんどは以前から使われている基本的な手口で画期的ではないものの、Conti対策には役立つだろうというのが専門家の見立てだ。Contiとしては、戦術の一部を変更せざるを得ないだろう。

「Contiが約束を守らなかった」というのはアフィリエイトの一方的な主張だが、信ぴょう性は高い。このようなウソを言っても何の得にもならないからだ。「Contiが裏切ったからこちらも裏切る」と考えたとみるのが妥当だ。もはや仁義なき戦いである。

なかなか衝撃的な今回の事件。これによってアフィリエイトに対するランサムウエア攻撃者グループの態度は変わるだろうか。筆者としては変わってほしくない。アフィリエイトの怒りを募らせるようなことが続けば、アフィリエイトからの「密告」が期待できるからだ。

その受け皿の1つになり得るのが、米国務省が21年7月に発表した報奨金制度だ。同国の重要インフラを標的としたサイバー攻撃に限定されるが、有用な情報には最大1000万ドル(約11億円)の報奨金を支払う。

「怒ったアフィリエイトによる重要情報のリークにより、ランサムウエア攻撃者グループが特定されて壊滅させられる」というのが期待されるシナリオだ。

(日経クロステック/日経NETWORK 勝村幸博)

[日経クロステック2021年8月25日付の記事を再構成] 』