McAfee Enterprise & FireEyeは2021年10月末に、2022年の脅威予測をリリースしました。このブログでは、その脅威予測の中の2つのトピック、2022年のRansomware-as-a-Service(サービスとしてのランサムウェア、RaaS)に関わる犯罪者グループの間でのゲームオブスローンズ(※)のような権力闘争について詳細をお伝えします。
予測3:RaaSエコシステム内の攻防により勢力均衡がシフト
ここ数年、ランサムウェアによる攻撃は、最もインパクトのあるサイバー脅威として注目されてきました。当時のRansomware-as-a-Service(RaaS)モデルは、スキルの低い犯罪者にもサイバー犯罪のキャリアパスを提供し、侵入件数の増加と犯罪者の利益の増大につながりました。
長い間、RaaSの管理者と開発者が最も優先され、技術力が低いとされたアフィリエイトは軽視されていました。これに加えて、RaaSのエコシステムが混乱していなかったこともあり、これらのスキルの低いアフィリエイトが成長し、最終的には自分の意思を持った非常に有能なサイバー犯罪者へと成長する雰囲気が生まれていました。
コロニアルパイプラインへの攻撃が大きく報道された後、人気の高いサイバー犯罪フォーラムは、ランサムウェアの攻撃者による広告を禁止しました。現在、RaaSグループには、積極的に採用したり、優先順位を示したり、彼らの技術力を示したり、エスクローを提供したり、モデレーターによるバイナリのテストを行ったり、紛争を解決したりするためのサードパーティプラットフォームがありません。可視性の欠如により、RaaSグループが信頼性を確立または維持することが困難になり、RaaS開発者が地下市場で現在の最上位層の地位を維持することが困難になっています。
これらの出来事は、彼らの信頼できる立場を弱体化させました。ランサムウェアは近年、数十億ドルを生み出しており、そのような収益を得ている中で、公平なシェアを得られていないことに不満を持つ層が出てくるのは想像に難くありません。
この出来事の兆候は、Grooveギャングの ブログ で説明されているように、すでに顕在化しています。Groove ギャングは、従来のRaaSから分岐して、コンピューターネットワークの弱点探査活動(CNE)に特化し、機密データを盗み出し、収益性が高い場合は、ランサムウェアチームと連携して組織のネットワークを暗号化します。McAfee Enterprise ATRは、Grooveギャングが、以前のアフィリエイトまたはサブグループとしてBabukギャングに関連付けられていると見ています。これらのサイバー犯罪者は、ランサムウェア自体の制御を優先する以前のアプローチと異なり、被害者のネットワークを制御することで得られる利益に焦点を当てるため、従来のサービスとしてのランサムウェアの階層にとらわれない方法を取っています。
地下市場のサイバー犯罪者の間でも、約束を守り、人々にふさわしい金額を支払うなど、信頼は依然として重要です。サイバー犯罪者も、貢献が十分に報われていない従業員のような状況をとても嫌がります。そのような状況が発生すると、犯罪者たちが組織内で問題を引き起こします。ランサムウェアは近年数十億ドルを生み出しており、そのような収益を得ている中で、公平なシェアが得られていないことに不満を持ち、サイバー犯罪の世界にそのような状況が知れ渡ることは避けられませんでした。
実際、元Contiのアフィリエイトは彼らの収益の取り分に不満を持っており、完全なConti攻撃プレイブックとCobaltStrikeインフラストラクチャをオンラインで開示することを決定しました。これまで、McAfee ATRは、特定のRaaSグループに所属する個人から、他のRaaSメンバーや管理者に恨みを表明し、期限内に支払われていない、または彼らのシェアが彼らが投入した作業量に見合っていないという情報を得ています。
2022年には、より多くの自立したサイバー犯罪グループが台頭し、RaaSエコシステム内の勢力均衡を、ランサムウェアを制御するグループから被害者のネットワークを制御するグループにシフトすることが予測されます。
※ジョージ・R・R・マーティン著のファンタジー小説シリーズ『氷と炎の歌』を原作としたHBOのテレビドラマシリーズ
予測4:スキルの低いオペレーターが、RaaSモデルのパワーシフトの中で地位を確立
サービスとしてのランサムウェア(RaaS)のエコシステムは、利益の一部を開発者と協力するアフィリエイト、仲介業者、女性を利用して進化してきました。この構造はGandCrabの成長の過程で洗練されましたが、もともと堅い関係性を持っていたわけではない連携体制に、潜在的な亀裂が入り始めたことを確認しています。
歴史的に、ランサムウェアの開発者は、業務のアフィリエイトを選択的に決定する側であることから切り札を持ち、技術的な専門知識を確立するために「採用面接」を開催していました。例えばCTB-Lockerのような、ボットネット、エクスプロイトキット、または盗まれたアカウント情報を介して十分なインストールを生成するアフィリエイトが目立つようになりました。しかし、最近、アフィリエイトがその役割を引き受け、さまざまな悪意のあるツールとその他のツールを使用して完全なネットワークに侵入し、侵害する能力を発揮することで、典型的なアフィリエイトプロファイルが高度なスキルを持つペネトレーションテスト/システム管理者に変わりました。
従来の組織犯罪グループの階層は、ピラミッド構造として説明されることがよくあります。歴史的に、ラ・コサ・ノストラ、麻薬カルテル、無法者のモーターギャングはそのような方法で組織されていました。しかし、犯罪の実行に関連するロジスティクスのさらなるプロ化と専門化により、グループは、現在のニーズに応じて、より流動的に連携する、より機会主義的なネットワークベースのグループに進化しました。
サイバー犯罪の世界でお互いに協力し合うことは目新しいものではありませんが、RaaSグループの階層は、グループの開発者/管理者とアフィリエイトの間の力の不均衡により、他の形態のサイバー犯罪と比較してより厳格になっています。しかし、状況は変化しています。RaaSの管理者と開発者が最上位として優先され、スキルが低いと見られるアフィリエイトを無視することがよくありました。これは、RaaSエコシステムに混乱がないことと相まって、スキルの低いアフィリエイトが、非常に有能なサイバー犯罪者になりたいと成長を促すきっかけになります。
より多くのランサムウェアプレーヤーが市場に参入するにつれて、最も才能のあるアフィリエイトが利益の大部分を競売にかけることができるようになり、おそらく運用においてより広い発言権を要求するようになると思われます。たとえば、DarkSideランサムウェアにActive Directory Enumerationを用いることで、アフィリエイトの技術的専門知識への依存を軽減できる可能性があります。これらの変化は、ランサムウェアの初期の様相に戻る可能性のある移行を示しており、ランサムウェア開発者によってエンコードされた専門知識を使用し、拡散するスキルの低いオペレーターの需要が高まっています。
結論としてこのような状況が実際に機能するのかについてですが、率直に言って、熟練した侵入テスターの技術的専門知識を再現することは困難と思われ、おそらく、影響は2021年に報道された多くの被害をもたらした攻撃ほどは深刻な状況にならないと見ています。
※本ページの内容は2021年11月7日(US時間)更新の以下のMcAfee Enterprise Blogの内容です。
原文: Who Will Bend the Knee in RaaS Game of Thrones in 2022?
著者: John Fokker and Raj Samani
概要:2022年の脅威予測レポート
予測1:拡大するソーシャルメディア経由の脅威
予測2:国家に雇われたサイバー犯罪者が暗躍
予測3:RaaSエコシステム内の攻防により勢力均衡がシフト
予測4:スキルの低いオペレーターが、RaaSモデルのパワーシフトの中で地位を確立
予測5:APIのリスクが増大
予測6:コンテナの悪用が拡大
予測7:ゼロデイとその対策の浸透