新しい番号から電話?誰だろう―偽RaaSの時代に脅威を検証することの重要性

誰かに模倣されるということは、称賛の極みであるとも言われます。それが事実であるならば、最近ランサムウェア・アズ・ア・サービス(RaaS)オペレーターの中には、自分が称賛されたとご満悦になっている者もいるでしょう。

ランサムウェア攻撃がニュース記事の見出しを飾る一方で、その被害額は2031年には世界で2,310億ドルに上ると予想されています。またアンダーグラウンドでは、サイバー犯罪者が有名なサイバー犯罪グループの名声を利用して注目を集め、分け前にあずかろうと偽のオペレーションを次々と立ち上げています。


大切なのは名前ではなくその中身

巧妙ななりすましの被害を経験した人であればご存じのとおり、インターネット上では誰もがどんな人物にでもなりすますことができます。また、誰かがなりすましを行ったところで、本物との違いを見破ることの見分けることができる人がどれほどいるでしょうか?2022年12月、そう考えたアクターの1人が、LockBitのランサムウェアブログにそっくりなデザインのサイトを立ち上げました。

このアクターは、まず6つの被害組織を攻撃しました。そして攻撃の際に残した身代金要求メモの中で、このサイト(LockBitを模倣したサイト)へアクセスし、身代金を支払うよう指示していました。また攻撃の後には、それら6組織の名前がこのサイトで公開されました。つまり6つの組織は攻撃を受けた後、あたかもLockBitのものと思われるウェブサイトで名前を公開されたのです。


Fake RaaS blog


そこでKELAは、この身代金要求メモの内容を調べてみることにしました。その結果、身代金要求メモに連絡先として記載されていた情報は、本物のLockBitが公開しているものではないことが判明しました。さらに、攻撃の後で6つの被害組織の名称を公開していたウェブサイトも、本物のLockBitとは全く関係がないことが明らかとなりました。

この事例は、名探偵のような推理力がなくともなりすましを特定できた、わかりやすい事例といえます。しかし他の脅威アクターは、大量の時間と努力を投じて他のRaaSアクターを模倣し、偽オペレーションをあたかも本物のように見せています。


偽ランサムウェアの増加

有名なランサムウェアグループの名を騙った別の事例としては、サイバー犯罪グループ「Groove」が挙げられます。Grooveについては、サイバー犯罪フォーラム「RAMP」の創設者兼管理者であったアクターがその存在を公表しました。Grooveは当初、自分たちこそがランサムウェアオペレーション「Babuk」の実行犯であり、産業スパイとランサムウェア攻撃の両方に従事していたと語っていました。Grooveは自らが運営するウェブサイトに多数の投稿を掲載していましたが、その中には彼らが活動を止める資金として3,000万米ドルを支払うよう要求しているものもありました。しかし2021年10月には、Grooveが「西側諸国のメディアを操り、ランサムウェアそのものに対する人々の恐怖心を悪用することを目的とした「トローリングプロジェクト」であったことが判明したのです。

Grooveのような偽ランサムウェアグループの事例は、最近も確認されています。例えば2024年2月、KELAは「Mogilevich」という名のデータリークサイトを発見しました。同サイトでは、某組織から窃取したと思われるデータについて紹介しており、Telegramのチャンネルや電子メール経由でこのデータを購入できると記載していました。

しかしそれから2週間もたたないうちに、Mogilevichは自分たちが「プロの詐欺師」であることを告白し、「世間の注目を集めて大金をせしめるべく、有名な組織を攻撃したという話をでっちあげていた」と語りました。Mogilevich のメンバーである脅威アクター「Pongo」の説明によると、彼らは架空の話でアフィリエイトをおびき寄せ、自らが運営しているとして(架空の)RaaSの管理パネルへのアクセスを脅威アクター8人に販売したということです。同アクターが投稿したBreachForumsに投稿したメッセージには、他のユーザーからだまし取った金銭の額も記載されていました。


Pongo on BreachForums
PongoがBreachForumsのユーザーを騙したことを認めている投稿

なお、興味深いことにBreachForumsには、過去にも「Pongo」というハンドル名のユーザーがおり、このPongoも他のユーザーを騙して同フォーラムを出入り禁止となっていました。そしてMogilevich のPongoが、この(BreachForumsを出入り禁止となった)Pongoとつながりがあったことが確認されています。

最近発生した別の事例としては、データリークサイト「Dispossessor」が挙げられます。Dispossessorのデザインにも、LockBitのウェブサイトと多数の共通点があり、KELAが同サイトについて詳細な分析を行った結果、Dispossessorを運営しているアクターは、自らの活動を重大な脅威であると見せかけるために、LockBitや8BASE、Clop、Snatch、その他のランサムウェアオペレーションを再利用している可能性があると思われました。

またDispossessorは偽のニュースサイトを作成し、被害組織が攻撃を受けたことが報道されているかのように見せかけ、被害組織を脅迫する際に利用していました。この偽ニュースサイトに掲載されていたコンテンツの大半は、他のソースの情報(一般に公開されているメディアの情報や他の脅威アクターの投稿など)を窃取または改ざんしたものであり、その主張のほとんどは立証することができませんでした。これらの状況から、Dispossessorの脅威レベルは、現時点では低いと考えられます。


セキュリティ研究者になりすます事例も発生

サイバーセキュリティ研究者を自称する人物が、サイバー犯罪者を発見したと報告した時にも、まず全ての事実を正確に把握することが重要となります。それを表す良い実例として、「Nelu Porumbelu」と名乗る人物が公開した、「La Piovra」に関するレポートが挙げられます。この人物(Nelu Porumbelu)はウェブサイトを運営していますが、そのサイトに掲載されているのはランサムウェアグループとされる「La Piovra」に関する情報のみとなっています。

また、この人物が公開した「La Piovra」に関するレポートは、「Cybereason」社が公式ブログで公開していたランサムウェア「REvil / Sodinokibi」の情報でした。


About


また、La Piovraのブログで名前を公開されていた被害組織については、「Offensive Security」と名乗る違法企業がでっちあげた、架空の企業であることが明らかとなっています。

これらの状況から、La Piovramは我々が厳重に警戒すべきほどの脅威ではないと思われます。


攻撃者は恐怖心を嗅ぎ取ることができる:ランサムウェアに対抗

攻撃者が皆さんから情報を窃取することにメリットを感じているということは、皆さんを騙すことにもためらいはないはずです。

サイバー犯罪の世界では、目に映るもの全てを疑ってかかることが重要となります。ランサムウェアグループは皆さんの恐怖心や危機感を利用し、何も考えないままに行動するよう仕向けます。そうすることで、より高額な金銭を手にできる可能性が高まるからです。

脅威アクターの主張については、常に真偽を確認できるとは限りません。そのような場合でも役立つ方法を、以下にご紹介します。

  1. コンテンツの独自性をチェック:脅威アクターが公開している画像をインターネットで検索してみましょう。その画像は他のウェブサイトや脅威アクターが公開していた画像のコピーかもしれません。コピーであった場合、その脅威アクターが発信している全ての情報が、必ずしも事実ではないことを示す兆候となります。
  2. デューデリジェンスを実行:周囲に警告を発する前に、まず情報源の信ぴょう性を確認します。その理由として、まず研究者でさえも情報を読み間違える可能性があること、そして研究者を名乗っている人物そのものが脅威アクターであるという可能性もあるからです。様々な脅威アクターのつながりを調査したうえで、問題となっている脅威アクターの真偽を確認します。
  3. 最新情報を入手KELAをはじめとするサイバー脅威インテリジェンス企業のプラットフォームを活用し、新たなサイバー脅威の出現時に、精度の高いアラートを即時に受信できるようにします。KELAは、能動的なサイバー脅威インテリジェンスにおいて業界の標準を確立し、お客様がアンダーグラウンドのサイバー脅威情勢を読み解いてゆけるよう支援することに誇りを持っています。


台頭するサイバー脅威の一歩先を行くために、脅威インテリジェンスを強化する方法を模索し、導入を検討されている皆様。KELAのサイバー脅威インテリジェンスプラットフォームの無料トライアルにぜひご登録ください