今週、CryptoWall Version 3ファミリに関する共同研究結果が、Cyber Threat Alliance(注)から発表されました。『Lucrative Ransomware Attacks: Analysis of the CryptoWall Version 3 Threat(高額な見返りが得られるランサムウェア攻撃:CryptoWall Version 3の脅威に関する分析)』(英文) で、Intel SecurityとCTAの他のメンバーは、以下の図に記載されたCryptoWallのライフサイクルの要素を調査しました。
出典:Cyber Threat Alliance、『Lucrative Ransomware Attacks: Analysis of the CryptoWall Version 3 Threat(高額な見返りが得られるランサムウェア攻撃:CryptoWall Version 3の脅威に関する分析)』
このブログでは、CryptoWallランサムウェア攻撃を蔓延させる原因となっている、経済的なインフラストラクチャに焦点をあてます。
調査では数千件のサンプルを研究しました。その一部は詳細分析用に手作業で抽出したものです。その他は自動的に複製されたものです。このアウトプットを基に、すべての情報を一連の大きなデータセットに集約しました。次に、身代金を集めるために使用されたビットコインウォレットを含む共有されているインフラストラクチャを理解するため、データの関連付けと分析を行いました。
関連付けの例を以下に示します。これはビットコイン取引の最初のステップを示したものです。
調査したすべてのCryptoWall攻撃で使用されている最初のウォレットを特定し、次に他のビットコインウォレットへのお金の流れを追跡しました。被害者が身代金を支払うと、そのお金はすぐに別なビットコインウォレットに送金され、このビットコインウォレットから別なウォレットに次々と送金されます。場合によっては、このような送金が1日何度も行われることがあります。
調査では数千件の取引を分析しました。そして最終的に「マスターウォレット」にたどり着いたのです。このウォレットには、数千の取引で得た多額のビットコインが集約されていました。
CryptoWall攻撃は2015年2月に始まりましたが、マスターウォレットは2014年4月に開設されました。今年2月以前の取引元は不明ですが、2月にCryptoWall攻撃が活発になってからのものを分析しました。ビットコインをドル換算した場合の平均的な価値を基に取引金額を計算したところ、2か月の調査期間中にCryptoWallに起因するランサムの推定額が3億2,500万ドル(約400億円:11月20日現在)になりました。
このレポートでは、このようなランサムウェアファミリの配信メカニズムとしてのAnglerエクスプロイトキットについても検討しました。2015年10月にはCisco Systems,Inc.のTalosグループの研究者が、Anglerの背後にあるグループをどのように崩壊させたのかについて詳しく説明したレポートを発表しています。このレポートで、Talosグループはランサムウェアによる年間の収益が6,000万ドル(約74億円:11月20日現在)に上ると報告しています。Talosチームに確認したところ、ある月に関していえば、Anglerのプロキシサーバーのうち1つを除くすべてが、CryptoWallランサムウェアに利用されていたことがわかりました。CryptoWall攻撃者がAnglerエクスプロイトキットにアクセスするためには、一定の料金を支払う必要があったのです。CryptoWallによる身代金を収益として得られるため、攻撃者はAnglerの料金を簡単に支払うことができました。
このように、CryptoWallや同じようなランサムウェア攻撃で得られる収益に引きつけられて、サイバー犯罪者が類似のランサムウェア攻撃やアフィリエイトプログラムに参加したり、 新しいサービスを「ransomware-as-a-service」として開発し始めたりしていると考えられます。こういった要因を考えると、この種の攻撃は今後増加することが予測されます。ただし、エンドポイントでランサムウェアを阻止できるテクノロジが開発されるまで、Cyber Threat Allianceで開始したセキュリティパートナー間での迅速に予兆を検知することによって、この種の脅威を阻止することができます。
Intel Securityによるこの種の脅威の検出方法については、関連するこちらの記事を参照してください。
【参考】
ランサムウェアに関する企業向けソリューション概要
ランサムウェアから大切なデータを守る
注: Cyber Threat Alliance とは、
インテルセキュリティ、フォーティーネット、パロアルトネットワークス、シマンテックが発足メンバーとなり、それぞれの顧客に対して、進化するサイバー脅威への防御を改善するために、脅威情報を共有することを目的として、設立された組織です。
URL: http://www.cyberthreatalliance.org/
※本ページの内容は McAfee Blog の抄訳です。
原文: Ransomware: an Insight to Financial Gain
著者: Christiaan Beek(The Director of Threat Intelligence, Malware Operations at McAfee Labs, part of Intel Security)