いまや脅威アクターの新たな武器となった、既製ランサムウェアのソースコード

KELAサイバーインテリジェンスセンター

アヒルのように見える生き物が、アヒルのように歩いていたら…。皆さんがそれをアヒルと判断する前に、まずもう少し詳細を確認する必要があります。2023年10月頃、Hunters Internationalはランサムウェアグループ「Hive」のリブランドであろうと考えられていましたが、その見解が間違っていたことが後に判明しました。この事例は、目で見たものをそのまま信じる前に、その詳細を確認することがこれまで以上に重要になっていることを浮き彫りにしています。

目で見たものとその実体が異なり、間違った結論にたどり着くという事例はたやすく起こりがちですが、いまやその数は増加傾向にあります。

Hunters Internationalの事例に話を戻すと、研究者が同グループのランサムウェアを調べたところ、その60%がHiveのソースコードと一致していることが確認されました。そのため、当初セキュリティコミュニティから寄せられた報告では、「Hunters InternationalはHiveのリブランドである」と結論付けられていましたが、後にそれが誤りであることが判明しました。Hunters InternationalはHiveのリブランドではなく、あくまでHiveのランサムウェアをベースにした「フランケンシュタイン・ランサムウェア」の亜種を使用していたのです。フランケンシュタイン・ランサムウェアの存在により、法執行機関にとっては、ランサムウェアとその使用者(または開発者)であるサイバー犯罪者を正確に紐づけることが、これまで以上に困難になっています。(英国家犯罪対策は、他のランサムウェアをベースに使用したり、組み合わせるなどして作成されたランサムウェアを「フランケンシュタイン・ランサムウェア」と呼称しています)


Hunters Internationalがブログに掲載した声明(2023年10月24日)


上図の投稿でも分かるとおり、以前Hunters Internationalは「データの暗号化は自分たちの最重要目的ではない」と発言しており、また彼らが使用しているランサムウェアのソースコードはHiveの開発者から購入した「既製品」であると説明していました。これは、現在ランサムウェア・アズ・ア・サービス(RaaS)業界に導入されている、厄介な戦術の1つであると言えます。


脅威アクターは、他のグループの「ゴミ」が自分達にとって宝になりうることを理解しています

これまでランサムウェアグループやデータリークグループは、攻撃を立ち上げるために必要な情報やアイテム(ゼロディ脆弱性や企業用ネットワークの初期アクセス、侵入テストツールなど)をサイバー犯罪エコシステムで購入してきました。

しかし今や脅威アクターはRaaSをさらに進化させ、以前ランサムウェアグループとして活動していたアクター(またはそれらグループのソースコードやインフラ、ツールなどを使用できるアクター)から、直接ランサムウェアのソースコードや攻撃用のインフラを購入するようになっています。そして、Hunters InternationalがHiveのランサムウェアを使用していた事例と同様に、今では多数の脅威アクターがこの手法を採用するようになっており、その傾向は増加の一途をたどっています。

つまり、Hunters InternationalがHiveのランサムウェアのソースコードを再利用していたという事例は、多数存在する厄介な事例の1つに過ぎないということなのです。

その他にRaaS業界で既製のランサムウェアのソースコードを購入していたグループとしては、LockBitが挙げられます。同グループについては、以前BlackMatterのソースコードを購入していたことや、漏えいしたContiのソースコードをLockBit 3.0に使用していたことが判明しています。そしてLockBitの代表者自身も、LockBit 3.0がBlackMatterのソースコードに改良を加えたものであることを認めています。


LockBitがオペレーションの中でContiとBlackMatterについて言及し、AlphvやREvilの亜種も買い取る用意があると発言している投稿
(上図はKELAのプラットフォームにて自動翻訳した投稿)


2021年7月、BlackMatterは、ロシア語話者の集うサイバー犯罪フォーラム「Exploit」と「XSS」で初期アクセスブローカーを募集していました。そして、当時我々がこの件について調査を行ったところ、同グループ(BlackMatter)がアフィリエイトプログラムを運営していることが判明しました。また他の研究者の調査では、LockBit 3.0とBlackMatterのソースコードに多数の類似点(APIの収集やアンチ・デバッギングのテクニック、特権昇格方法、身代金要求メモやアイコンの名称、壁紙など)があることが確認されています。

なお、BlackMatterは2021年にオペレーションの終了を発表しましたが、同グループのインフラやソースコードは現在もサイバー犯罪者に使用されていることが明らかとなっています。


見た目と実体が異なる複雑な世界

事態が循環的に変化し、ランサムウェアを取り巻く環境がますます複雑になる中で、LockBit自身もこういったトレンドの「被害者」となりました。LockBitの幹部と開発チームのメンバーが衝突した時、開発チームのメンバーが報復として、LockBitのランサムウェアビルダーをリークしたのです(ランサムウェアビルダーを使うことで、誰でもランサムウェアや復号ツールを作成することが可能となります)。

LockBitのランサムウェアビルダーがリークされた事例については、まず無名のユーザー「Ali Qushji」がTwitter上で同ビルダーを公開し、その後別のユーザー「protonleaks」が「VX-underground(マルウェアのソース コードやサンプル、論文などのリソースをアーカイブしたサイト)」上で同ビルダーのコピーを公開したことが確認されています(このAli Qushjiとprotonleaksは、おそらく同一人物と思われます)。

さらに「BreachedForums」でも、「Persistent」と名乗るユーザーがLockBitのビルダーを公開していました。ただしPersistentについては、本当にリーク行為そのものに関与していたのかは不明であり、すでにTwitterやVX-undergroundで公開されていたビルダーを再公開していただけという可能性も考えられます。その一方でこのビルダーが公開された当時、LockBitはフォーラムXSSで、「我々のインフラはハッキングされておらず、(同グループの)プログラマーがこのリークに関与していた」と説明していました。

この事例は、「サイバー犯罪者らは自分達の『従業員』をもっと大切に扱うべきである」という教訓を示唆しています。

そして上述のリークの影響は、その後間もなく確認されました。リークから1週間もたたないうちに、ランサムウェアグループ「Bl00dy」がLockBitのランサムウェアビルダーを使い、ウクライナを攻撃したのです。研究者からはBl00dyについて、「ランサムウェアを独自に開発せず、他のランサムウェアオペレーションから流出したビルダーやソースコードを使用して、暗号化ツールを作成していると思われる」との見解が寄せられています。そしてこれらの状況から、もはや脅威アクターがランサムウェア攻撃を立ち上げるにあたり、彼らがランサムウェアを独自に開発する必要はないことがわかります。言い換えれば、「インターネット上でお買い得品(手頃なソースコード)を見つけるプロ」になれば良いということです。皆さんが年に1度のビッグセール「プライムデー」の熱心なファンであり、また犯罪者になることに興味を持っているのであれば、皆さんにも「活躍」のチャンスがあります。

その他には、2021年にBabukのソースコードがリークされた事例も世間の注目を集めました。このリーク事件以降、CylanceやRorschach、RTM Lockerをはじめ、少なくとも10種類のランサムウェアがBabukのソースコードとつながりがあり、またESXiホストを標的にしていることが確認されています。


目に見えるものが信じられない時は、何を信じれば良いのか?

もはやランサムウェアオペレーションの成功が、その適切な運営にかかっていることは明らかです。悪事を企む脅威アクターは、「適切な人材の採用」、「必要なサービスに対する支払い」、「即座に使用可能な既製ランサムウェアの購入」という複数の行為を1つのオペレーションにまとめることで、攻撃を首尾よく実行できるようになっています。

この状況は、組織のネットワーク防御を担当される皆様にとって何を意味するのでしょうか?以下に、今後の防御活動で念頭に置いておくべきポイントを記載します。

  • 「用済みになった」ランサムウェアの亜種というものは存在しません。これを裏付ける最新の事例として、ランサムウェア「Zeppelin2」が挙げられます。Zeppelin2は、2022年には使用されなくなったものと考えられていました。しかし2023年末に、某フォーラムで同ランサムウェアのソースコードとビルダーが売り出されていたことが確認されました。つまり、Zeppelin2のソースコードはいつリークされてもおかしくはない状況にあり、「用済みになってもはや機能していない」というよりは、単に「休眠状態」にあると見なす必要があります。
  • 攻撃のハードルがますます下がりつつあります。Zeppelin2のソースコードとビルダーは、某フォーラムで「RET」と名乗るユーザーによって、わずか500ドルで売り出されていました。このソースコードとビルダーが低価格で売られていたこと、またランサムウェアの開発におけるハードルを引き下げる役割を果たすであろうことを考慮すると、「アルバイトで稼いだ小銭を10倍にしたい」と願う好奇心旺盛なティーンエイジャーが、今後サイバー攻撃を立ち上げるという可能性もあります。
  • 結論に飛びつく前に、慎重に行動します。確実に分かっているのは、我々が持った第一印象が間違っている可能性があるということです。広範なソースとインテリジェンスを利用し、潜在的な脅威についてできる限り多くの情報を入手することこそが、最善の防御策となります。