「McAfee Labs 脅威レポート:2015年5月」の発表後、数週間にわたり、私たちは頻繁に同じ質問をされました。それは、「なぜランサムウェアは増加し、それほどの成功を収めているのか?」というものです。
このレポートは、この質問に対するいくつかの回答を提供しています。ここでは、その1つである「ランサムウェアの入手が容易になり、アフィリエイトプログラムが効果的に機能している」について掘り下げます。
ランサムウェア作成者は、できるだけリスクを抑えて利益を上げるためにアフィリエイトプログラムを開始します。このプログラムはどのように機能するのでしょうか?アフィリエイトは、ランサムウェアキャンペーンの利権を購入します。通常の最大アフィリエイト数は8~10です。これはアフィリエイトのキャンペーンが重複し、同一の国をターゲットにしてしまう可能性があるためです。収益の分配率は事前に話し合われ、アフィリエイトサーバーまたは配信サーバーに組み込まれます。これらのサーバーは隠しサーバーで、アフィリエイトがログインしてキャンペーンの追跡などを行います。
収益分配モデルはさまざまですが、私たちは80対20および75対25モデルでは大きい分配率がアフィリエイト、小さい分配率がランサムウェアインフラストラクチャーの作者/所有者であることを確認しています。作者/所有者の取り分がこれほど少ないのはなぜでしょうか?彼らは最低限のリスクしか負いたがらないのです。対照的にアフィリエイトは、カスタムパッカー/クリプタを作成または購入してマルウェア対策ソリューションによるサンプルの検知を防ぐ、サンプルを広めるためにボットネットかエクスプロイトキットをレンタルする、電子メールアドレスリストを購入する、セキュリティソリューションを迂回する方法を見つけるなど、さまざまな労力をかけなければなりません。
アフィリエイトは脅威を広めることに加え、キャンペーンを追跡し、支払い用のビットコイン(BTC) ウォレットを監視し、換金前に複数のウォレットに代金を振り分ける必要があります。アフィリエイト/配信サーバーの監視オプションにより、アフィリエイトはキャンペーンが成功しているかや最も売上が高い国などの情報を得ることができます。一部のケースでは、被害者のマシン上の正確なファイル量と合計ファイルサイズが暗号化されていました。監視データは、たとえば次のリリースでサポートする言語(売上が好調なX国の言語)を決定する上で非常に有益です。かつては、身代金の支払い後に常に秘密鍵が届けられていたわけではありませんでした。今日ではそのようなことはほとんどありません。ランサムウェアの作者は、自らの評判を維持したいと考えているようです。
ここで言語サポートの裏話を1つ紹介します。最近、闇市場で、ある作成者がランサムウェアでロシア語をサポートすると発表しました。その後まもなく、この作成者はなぜランサムウェアでロシア語圏の国をターゲットにするのかという複数のコメントでひどく罵られたということです。
大物が金儲けをするときは、おこぼれに与る人たちが必ずいます。しかし彼らには、自分たちの行動によって(個人が受ける)損害、混乱、経済的損失がわかりません。Deep Webのフォーラムとマーケットプレースを数時間調査しただけで、ランサムウェアの作成のために多くの人々がサービスやコードを提供していることが明らかになりました。その例を示します。
ロシアのハッカーグループが提供したサービス:
(カスタムランサムウェアウイルス、1つ 0.5 BTC(ビットコイン) 。
ランサムウェアの送信先となるBTCアドレスと支払までの期間をメールで通知すること。
好みの仕様に合わせてCTBロッカーウイルスをカスタマイズして提供。)
別の作者が提供したランサムウェア:
(パネルでカスタマイズ可能なランサムウェア
コントロールパネルでカスタマイズ可能なランサムウェアを販売、英語のインストールガイド付き。)
この広告のマーケットプレースデータによると、このパッケージの売上は4月以降16倍に増えており、平均価格は約34米ドルでした。
Multilockerの例:
(カスタマイズ可能なMULTILOCKERランサムウェア
独自のスキームを作成できるMultilockerランサムウェアパッケージ。パネルレンディングは多言語対応で、完全にメッセージと身代金支払いをカスタマイズ可能。パッケージの内容:* Multilockerパネル (.php)、 * Multilocker ビルダー(.exe) 。世界中から身代金を獲得しよう)
1行の広告が作者の野心を表しています:“Let’s kidnap the planet!”(世界中から身代金を獲得しよう)
私たちは、今日のランサムウェアの潜在性を垣間見ているに過ぎません。モバイルデバイスに対する攻撃も試みられていますが、携帯電話のバックアップやクラウドからのファイルのリストアは簡単で、携帯電話をコンピュータかインターネットに接続するとデフォルトでリストアされます。Intel Security Malware Operations Labsでは、近いうちに発生しうるさまざまなシナリオやランサムウェア亜種の研究を重ねています。私たちの目標は、こうした脅威からお客様を保護することです。Intel Securityはランサムウェアの検知と防止に取り組んでいるだけではなく、司法当局やその他の機関を緊密に協力して力を結集し、ランサムウェアと戦っています。
【参考】
ランサムウェアに関する企業向けソリューション概要
ランサムウェアから大切なデータを守る
関連記事:第4回:今だから学ぶ! セキュリティの頻出用語 : ランサムウェアとは?
※本ページの内容は McAfee Blog の抄訳です。
原文: Ease of Buying Ransomware Fuels Affiliate Program
著者: Christiaan Beek (Director of Threat Intelligence, Malware Operations at McAfee Labs, part of Intel Security)