あなたのチームは時間内に次のゼロデイを受け入れますか?
AI、サイバーセキュリティ、データ、自動化に関する厳選されたニュースをThinkニュースレターで購読しているセキュリティリーダーに加わりましょう。専門家によるチュートリアルと解説をメールで直接配信することで、手軽に学ぶことができます。IBMプライバシー・ステートメントをご覧ください。
ランサムウェア・アズ・ア・サービス(RaaS)とは、ランサムウェアの開発者がランサムウェアのコードやマルウェアを「アフィリエイト」と呼ばれる他のハッカーに販売し、そのハッカーがそのコードを使って独自のランサムウェア攻撃を行うというサイバー犯罪のビジネスモデルです。
ランサムウェア・アズ・ア・サービスの仕組みはサイバー犯罪者の間で人気があります。ランサムウェアは依然として一般的なサイバー脅威であり、IBM X-Force Threat Intelligence Indexによると、すべてのサイバー犯罪インシデントの20%に関係しています。LockBitやBlackBastaなど、最も有名で壊滅的なランサムウェアの多くがRaaS販売を通じて拡散されました。
RaaSモデルの普及を理解するのは簡単です。その取り組みの一部をRaaSプロバイダーにアウトソーシングすることで、ハッカーになりそうな人がサイバー犯罪に迅速かつ簡単に侵入できるようになります。技術的な専門知識が限られている脅威アクターでさえ、サイバー攻撃を仕掛けることができるようになりました。
RaaSは相互に有益です。ハッカーは独自のマルウェアを開発することなく恐喝で利益を得ることができます。同時に、ランサムウェアの開発者は、ネットワークを攻撃する手間をかけずに利益を増やすことができ、他の方法では見つけられなかった被害者から利益を得ることができます。
AI、サイバーセキュリティ、データ、自動化に関する厳選されたニュースをThinkニュースレターで購読しているセキュリティリーダーに加わりましょう。専門家によるチュートリアルと解説をメールで直接配信することで、手軽に学ぶことができます。IBMプライバシー・ステートメントをご覧ください。
RaaSは、正規の SaaS(Software-as-a-Service )ビジネスモデルと同じように機能します。ランサムウェア開発者は、RaaSオペレーターまたはRaaSグループとも呼ばれ、ランサムウェアツールとインフラストラクチャの開発と保守の作業を引き受けます。彼らはツールとサービスをRaaSキットにパッケージ化し、RaaSアフィリエイトと呼ばれる他のハッカーに販売しています。
RaaS事業者の多くは、キットを販売するためにこれらの収益モデルのいずれかを使用しています。
RaaSアフィリエイトは、ランサムウェアツールへのアクセスに対して定期料金(場合によっては月額40米ドル程度)を支払います。
アフィリエイトは、ランサムウェアのコードを購入するために1回限りの料金を支払います。
アフィリエイトは月額料金を支払い、受け取ったすべての身代金の一部をオペレーターと共有します。
オペレーターは前払いは一切しませんが、アフィリエイトが受け取る身代金のかなりの部分(多くの場合30~40%)を受け取ります。
RaaSキットは、地下エコシステム全体のダークウェブフォーラムで宣伝されています。また、ランサムウェアオペレーターの中には、積極的に新しいアフィリエイトを募集し、ダークウェブでの採用活動に数百万米ドルを注ぎ込んでいるところもあります。
RaaSキットを購入すると、アフィリエイトはマルウェアと復号キーだけではありません。多くの場合、合法的なSaaSベンダーと同等のレベルのサービスとサポートを受けることができます。最も洗練されたRaaSオペレーターの中には、次のようなアメニティを提供しているところもあります。
すべてのランサムウェア攻撃は深刻な結果をもたらす可能性があります。IBMのデータ侵害のコストに関する調査によると、ランサムウェア侵害による被害者の平均損害額は491万米ドルです。しかし、RaaSアフィリエイトによる攻撃は、サイバーセキュリティーの専門家にとって次のような課題をもたらします。
RaaSモデルでは、サイバー攻撃を実行する人物は、使用されているマルウェアを開発した人物と同じではない可能性があります。さらに、異なるハッキンググループが同じランサムウェアを使用しているかもしれません。サイバーセキュリティーの専門家は、特定のグループやグループに攻撃を明確に特定できない可能性があるため、RaaSオペレーターや関連会社のプロファイリングと捕捉が困難になります。
合法的な経済同様、サイバー犯罪経済にも分業化の波が押し寄せています。脅威アクターは、自分たちの技術を専門化し、洗練させることができるようになりました。開発者はより強力なマルウェアの作成に集中でき、アフィリエイトはより効果的な攻撃手法の開発に集中できます。
「アクセス・ブローカー」と呼ばれるサイバー犯罪者の3つ目のクラスは、ネットワークを浸透させ、攻撃者にアクセスポイントを売ります。特殊化により、ハッカーはより速く行動し、より多くの攻撃を行うことができます。X-Force Threat Intelligence Indexによると、現在ではランサムウェア攻撃を準備して開始するまでの平均時間が2019年の60日以上から3.84日にまで短縮されています。
RaaSを使用すると、通信事業者と関連会社がリスクを共有できるようになり、それぞれの回復力が高まります。アフィリエイトを捕まえてもオペレーターは閉鎖されず、オペレーターが逮捕された場合、アフィリエイターは別のランサムウェアキットに切り替えることができます。ハッカーは当局の目を逃れるために活動を再編成し、ブランドを変更することも知られています。
例えば、米国外国資産管理局(OFAC)がEvil Corpランサムウェア集団を制裁した後、被害者はOFACからの罰金を回避するために身代金の支払いを停止しました。これに応じて、Evil Corpは支払いを継続するためにランサムウェアの名前を変更しました。
RaaS攻撃を利用するサイバー犯罪者は、被害者のデータを暗号化しなければ、より高額で迅速に身代金の支払いを要求できる可能性が高いことに気づいています。システムを復元するための余分な手順により、支払いが遅くなる可能性があります。さらに、多くの組織がバックアップと復元ストラテジーを改善し、暗号化による組織への損害は減少しています。
代わりに、サイバー犯罪者は、医療提供者など、機密性の高い個人情報(PII)を大量に保有する組織を攻撃し、その機密情報を漏洩すると脅します。被害者は、漏洩による不快感や法的な影響を避けるために身代金を支払うことがよくあります。
どのギャングがどのランサムウェアに関与しているのか、またはどのオペレーターが攻撃を開始しているのかを特定することは困難な場合があります。そうは言っても、サイバーセキュリティの専門家は、長年にわたって次のようないくつかの主要なRaaSオペレーターを特定してきました。
2015年に初めて特定されたToxは、多くの人によって最初のRaaSであると考えられています。
X-Force Threat Intelligence Indexによると、LockBitは最も普及しているRaaSの亜種の1つです。LockBitは多くの場合、 フィッシングメール を通じて拡散します。特に、LockBitの背後にいるギャングは、ターゲット被害者に雇われているアフィリエイトを募集し、侵入を容易にしようとしています。
DarkSideのランサムウェア亜種は、米国の重要なインフラに対するこれまでで最悪のサイバー攻撃と考えられている、米国植民地パイプラインに対する2021年の攻撃で使用されました。DarkSideは2021年に終了しましたが、開発者はBlackMatterという後継RaaSキットをリリースしました。
SodinまたはSodinokibiとしても知られるREvilは、JBS USAとKaseya Limitedに対する2021年の攻撃の背後でランサムウェアを作成しました。最盛期には、REvilは最も広まったランサムウェアの亜種の1つでした。ロシア連邦保安局は、2022年初頭にREVILを閉鎖し、主要メンバー数名を起訴しました。
2021年に閉鎖されるまで、Ryukは最大規模のRaaS事業の1つでした。Ryukの開発者たちは、2022年にコスタリカ政府に対する攻撃で使用されたContiという別の主要なRaaSの亜種をリリースしました。
Hiveは2022年にMicrosoft Exchange Serverに対する攻撃を受けて有名になりました。Hiveのアフィリエイトは、FBIが運営者を逮捕するまで、金融会社や医療機関にとって大きな脅威でした。
2022年に脅威として登場したBlack Bastaは、瞬く間に北米、ヨーロッパ、アジアで100人以上の被害者を出しました。ハッカーは標的型攻撃を使用して、被害者のデータを解読し、機密情報を一般に公開するという二重の恐喝を行います。
2023年、「CL0P」ランサムウェアグループは、ファイル転送アプリケーション「MOVEit」の脆弱性を悪用して数百万人の個人情報に不正アクセスしました。
Eldorado RaaSは、2024年初頭にランサムウェアフォーラムの広告で発表されました。発表から3カ月経たないうちに、すでにアメリカとヨーロッパで16人の被害者が攻撃を受けました。1
RaaS は脅威の状況を変えましたが、ランサムウェア保護の標準的な手法の多くは、依然として RaaS 攻撃と戦うのに効果的です。
多くのRaaSアフィリエイトは、以前のランサムウェア攻撃者ほど技術的に熟練していません。ハッカーとネットワーク資産の間に十分な障害物を置けば、一部のRaaS攻撃を完全に阻止できる可能性があります。役立つ可能性のあるサイバーセキュリティー施策をいくつか紹介します。
進行中のランサムウェア攻撃を識別するために、組織は、エンドポイント検出および対応 (EDR)やネットワーク検出および対応(NDR)ソリューションなどの異常ベースの検出ツールを使用できます。これらのツールは、インテリジェントな自動化、人工知能(AI)、機械学習(ML)機能を使用して、新しい高度な脅威をほぼリアルタイムで検出し、エンドポイントの保護を強化します。
ランサムウェア攻撃は、何の前触れもなく突然開始された異常なバックアップ削除または暗号化プロセスにより、初期段階で発見される可能性があります。攻撃が始まる前の異常なイベントは、セキュリティーチームが防止できる差し迫ったハッキングの「早期警告の兆候」である可能性があります。
組織は、脆弱性評価を頻繁に実施し、一般的に悪用される脆弱性を解消するパッチを定期的に適用することで、ネットワーク攻撃対象領域を減らすことができます。
ウイルス対策ソフトウェア、セキュリティー・オーケストレーション、自動化および対応(SOAR)、セキュリティー情報およびイベント管理(SIEM)、拡張された検知と対応(XDR)などのセキュリティーツールも、セキュリティーチームがランサムウェアをより迅速に阻止するのに役立つ可能性があります。
フィッシング、ソーシャルエンジニアリング、悪意のあるリンクなど、一般的なランサムウェアのベクトルを認識して回避する方法を従業員に示します。
多要素認証、ゼロトラスト・アーキテクチャ、ネットワークセグメンテーションは、ランサムウェアが機密性の高いデータに到達するのを防ぐことができます。
組織は機密データとシステムイメージを、理想的にはネットワークから切断できるハードディスク・ドライブやその他のデバイスに定期的にバックアップできます。
法執行機関の支援により、組織は封じ込めにかかるコストと時間を節約できる場合があります。
IBMのデータ侵害のコストに関する調査によると、法執行機関が関与したランサムウェアの被害者は、支払われた身代金のコストを除き、侵害コストを平均で約100万米ドル下げることができました。また、法執行機関を関与させることで、侵害の特定と封じ込めに必要な時間が297日から281日に短縮されました。
1New Ransomware-as-a-Service 'Eldorado' Targets Windows and Linux Systems. The Hacker News, 8 July 2024.