ランサムウェア・アズ・ア・サービス（RaaS）の台頭：サイバー犯罪はいかにしてビジネスになったか

ハイアングルから見た、オフィスのデスクでデスクトップPCを使うプログラマーたちの姿

著者

Syed Jawwad

Security Consultant

ランサムウェア・アズ・ア・サービス（RaaS）は、ハッカーが従来のランサムウェアの機能とクラウドベースのサービスのアクセシビリティーを組み合わせた、革新的なビジネス・モデルとして登場しました。この動きにより、彼らは高度なデジタル恐喝を、ほぼ誰でも悪意を持って利用できるサブスクリプション型経済へと変貌させました。

これまで、ランサムウェア攻撃は、主に技術的に熟練した脅威アクターによって実行されていました。彼らは独自のマルウェアを作成し、フィッシングまたはエクスプロイト・キットを通じて配布し、被害者と直接交渉してきました。しかし、この従来のモデルには、拡張性が限られていること、リスクにさらされること、幅広いスキルセットが必要であることなどの制限がありました。

その後、RaaS モデルが登場しました。このモデルでは、ランサムウェア開発者が堅牢なマルウェアツールを作成し、それを顧客やアフィリエイトに貸し出し、実際の攻撃を実行します。開発者は利益の20%から40%を受け取り、アフィリエイトは残りのシェアを受け取ります。

これによりサイバー犯罪がより容易になり、スキルが限られている人でも高度なツールを使用して強力な攻撃を実行できるようになりました。

ランサムウェア・アズ・ア・サービスの仕組み

RaaSは、開発者と呼ばれるプロのハッカーが既製のランサムウェア・ツールを作成し、それを使用して攻撃を実行するアフィリエイト（他の犯罪者）に販売またはリースするサイバー犯罪ビジネス・モデルです。以下に説明するように、複数の段階があります。

1. マルウェアの開発

開発者またはオペレーターがランサムウェアのペイロードを設計します。主な機能には通常、次のものが含まれます。

  • 被害者データをロックする暗号化アルゴリズム
  • 自己削除手法
  • ウイルス対策やEDRを回避するための回避方法
  • 組み込み通信チャネル（TORベースのコマンド・アンド・コントロールなど）

一部の高度なファミリには、ワームのような拡散、サンドボックス回避、マルチスレッド暗号化などのモジュール式の機能が含まれています。

2. RaaS プラットフォームのホスティング

マルウェアが作成されると、それはパックされ、ダークネット・マーケットプレイスやプライベート・フォーラムを通じて利用できるようになります。これらのプラットフォームは正規の SaaS サイトに似ており、その機能には次のようなものがあります。

  • 感染を追跡するためのユーザー・ダッシュボード
  • 決済ポータルと復号化キー管理
  • サポート・フォーラム
  • アップデートと主要な機能の展開
  • アフィリエイトのためのマーケティング資料

一部の RaaS グループには、アフィリエイトによるデプロイメントのトラブルシューティングに役立つカスタマー・サービスポータルもあります。

Crowdstrikeによると、RaaSキットはダークウェブのマーケットプレイスで宣伝され、24時間365日のサポート、バンドルされたオファー、ユーザーレビュー、フォーラムなど、正規のSaaSプロバイダーが提供するものと同じ主要な機能が含まれています。

3. アフィリエイトの募集

アフィリエイトは通常、ランサムウェアの開発者ほど才能がない他のサイバー犯罪者ですが、これらの犯罪者は実際のネットワークへのアクセスを通じてランサムウェアを拡散させることができます。

大規模なRaaSオペレーションでは、採用は通常、アフィリエイトマネージャーまたは採用担当者が行います。専任の担当者または小規模チームがアフィリエイトを見つけ、調査し、オンボーディングします。小規模または新たに立ち上げられたRaaSオペレーションでは、通常、採用は開発者または運営者自身が行います。

採用は多くの場合、TelegramやJabberなどのプライベートなメッセージング・プラットフォーム、ダークウェブ・フォーラム、プライベート・グループへの招待状など、複数のソースを通じて行われます。

開発者は、グループに参加させる前にアフィリエイトを慎重に評価する場合があります。その見返りに、アフィリエイトはランサムウェア、ドキュメンテーション、ツールにアクセスできます。時には評判に基づいた採用を狙うこともあります。まれに、攻撃者が偽の IT 求人広告やフリーランス プラットフォームを使用して、知らないうちに人材を募集したり、スキルをテストしたりすることがあります。

4. ペイロードの配信

アフィリエイトは、以下のような複数のソースを用いてランサムウェアの配布を担当しています。

  • 悪意のある添付ファイル付きフィッシング・メール
  • 悪意ある広告
  • 侵害されたWebサイト
  • パッチが適用されていないソフトウェアや脆弱性のエクスプロイト
  • 初期アクセスブローカー（IAB）または初期侵入者（これらの犯罪者は、侵害されたエントリポイントをネットワークに販売します）

場合によっては、アフィリエイトは 最初にデータを盗んでから暗号化し、被害者が身代金を支払わない場合はデータを公開すると脅すという二重の恐喝手法も使用します。

5. 被害者と金銭の支払い交渉

システムが暗号化されると、ランサムウェアは支払い指示を記載したメッセージを表示します。これらの犯罪者は通常、ビットコインなどの暗号通貨を要求します。身代金脅迫メール自体には、Torや暗号ウォレットの使用方法など詳細な手順が記載されています。

被害者には交渉ポータルのリンクが提供されます。これらのポータルは通常、TOR上でホストされています。RaaS グループの中には、チャットボットを使用してこれらの会話を自動化しているところもあれば、人間のオペレーターに価格交渉を任せるグループもあります。

これらのグループは、それぞれの責任を明確に共有しています。アフィリエイトは、ランサムウェアのデプロイ、身代金メッセージの配信、最初のコミュニケーションの確立、交渉の処理を担当します。コア開発者または開発者チームは、ポータルのホスティング、支払いの検証、復号鍵の配布などバックエンドを提供します。

6. 利益分配

これらのグループが被害者からの金銭の脅し取りに成功すると、契約に従って資金を分割します。合意された金額は開発者に渡され、残りの金額はアフィリエイトが保持します。

RaaSビジネスモデル

RaaS にはいくつかのモデルがあります。これらには次のものが含まれます。

  • アフィリエイト/利益シェア:アフィリエイトは前払い費用を支払いませんが、開発者は身代金ごとにシェアを受け取ります。これは最も一般的なモデルです。
  • サブスクリプションベース：アフィリエイトは、ランサムウェアキットとサポートへのアクセスに月額料金を支払います。
  • 1 回限りのライセンス： 定額料金でマルウェアに無制限にアクセスできますが、継続的なサポートはありません。
  • カスタム・ビルド： カスタマイズされたランサムウェアは、多くの場合、注目を集める攻撃または標的を絞った攻撃のために、単一の購入者に販売されます。

現実世界のRaaSグループ

RaaS モデルで活動する最も人気のあるランサムウェア集団には次のようなものがあります。

  • REvil: このグループはアフィリエイト向けに詳細なダッシュボードを提供していて、解散前には彼らの代わりに身代金の交渉を頻繁に行っていました。
  • DarkSide: このグループは、プロフェッショナルなブランディング、PRステートメント、さらには行動規範でも知られています。
  • Conti: このグループは、解散する前に、給与計算、マネージャー、レビューを行う企業のように機能していました。
  • LockBit:このグループは現在も活動しており、攻撃的なソリューションと公開リークサイトで知られています。

予防策：RaaSから身を守る方法

RaaS からの保護を維持するには、企業は次のような多層防御戦略を選択する必要があります。

  1. ユーザーアウェアネス: フィッシングは最も一般的な侵入口です。定期的な研修により、ユーザーはサイバー攻撃に気づくことができます。
  2. 行動およびヒューリスティック・ベースの検知: Raasは毎日新しいサービスを立ち上げています。Indicators of Compromise(IOCs)は、ネットワーク、システム、エンドポイント内に悪意のある活動の存在やセキュリティー侵害の証拠を検知することができます。ランサムウェア攻撃では一刻を争います。 EDR（エンドポイントの検知と対応）/XDRツールはリアルタイムで検知し、封じ込め、対応できます
  3. シグネチャ マッピング:各ランサムウェア ファミリには、異なる動作シグネチャとペイロード特性があります。これらのシグネチャをマッピングすると、より標的を絞った防御を作成できます。企業は脅威インテリジェンスフィードを定期的に更新し、SIEMまたはSOARプラットフォームと統合できます。MITRE ATT&CK フレームワークや Threat Fox は、この目的に非常に適しています。ユーザーはAny.runマルウェア動向サブスクリプションを選択することで、主要なマルウェアの種類、IOC、またはTTPに関する定期的かつ詳細なレポートを入手できます。ユーザーはダッシュボードを活用して、マルウェア・ファミリーに関する詳細情報を確認することもできます。
  4. ファイル整合性監視： ユーザーがファイル整合性監視を実行すると、システム上のファイルやディレクトリーの不正な変更を簡単に検知できます。クリティカルなファイル（システム構成ファイルや実行可能ファイルなど）が変更、削除、または追加されると、アラートが届きます。これにより、マルウェア、バックドア、さらには内部脅威の兆候を早期に特定できます。
  5. パッチ適用とアップデート: 多くの RaaS アフィリエイトは、アクセスするためにパッチが適用されていないソフトウェアを探しているため、定期的なパッチ適用が RaaS を防御する上で重要な役割を果たします。
  6. EDR（エンドポイントの検知と対応）：EDRの導入により、RaaSから保護します。EDRは行動分析を行い、ランサムウェアを早い実行段階で捕捉します。
  7. ゼロトラスト・アーキテクチャー： ゼロトラスト・アーキテクチャーを採用することで、システムが侵害された場合でも、横移動が制限されます。
  8. セグメンテーション:ネットワークをセグメント化すると、クリティカルなシステムを異なるセグメントに分離することで、ネットワーク全体の暗号化を防ぐことができます。
  9. オフライン・バックアップ： オフライン・バックアップは感染の影響を受けないため、オンライン・バックアップが侵害された場合でも、オフライン・コピーから安全に復元できます。
  10. コンプライアンス： エンドポイントのコンプライアンスを維持することで、ランサムウェア・アズ・ア・サービス（RaaS）がもたらすリスクを大幅に軽減できます。企業は、システムが脆弱性がなく、最新のマルウェア対策定義で更新されていることを確認する必要があります。

ランサムウェア・アズ・ア・サービスによりサイバー犯罪への参入障壁が低くなり、スキルの低い攻撃者でも壊滅的な攻撃を開始できるようになりました。よく組織化された運用、アフィリエイトネットワーク、利益分配モデルにより、RaaSは急速に進化を続けています。

この脅威に対抗するには、組織はユーザー プログラム、定期的なバックアップ、EDR/XDR の使用、黙インテリジェンス、迅速なインシデント対応などの多層防御戦略を採用する必要があります。
