次世代の情報窃取マルウエア

KELAサイバーインテリジェンスセンター

近年、情報窃取型トロイの木馬は非常に人気の高い攻撃ベクトルとなっています。攻撃者は、情報窃取型トロイの木馬を使ってユーザー名やパスワードなどの「ログ」をはじめ、感染した端末に保存されている情報を窃取しており、窃取した後は「Russian Market」や「TwoEasy」、「Genesis」などの自動ボットネットマーケットや非公開の場でそれらの情報を販売しています。こういった「ログ」を脅威アクターに購入されてしまった場合、彼らが「ログ」の所有者の様々なリソースへアクセスすることが可能となり、組織にとってはデータ窃取やネットワーク内での水平移動、さらにはランサムウエアなどマルウエアの展開を実行されうる重大なリスクとなります。

サイバー犯罪フォーラムで宣伝されている情報窃取マルウエアのうち、アンダーグラウンドのマーケットプレイスで存在が確認されている人気の高い情報窃取マルウエアとしては、「RedLine」、「Raccoon」、「Vidar」が挙げられます。こういったいわゆる「コモディティタイプの情報窃取マルウエア」には依然として人気を維持しているものもありますが、KELAは、様々な条件下で情報窃取マルウエアの勢力図が変化しはじめていることを確認しました。地上の世界でロシアのウクライナ侵攻が続く中、アンダーグラウンドでは情報窃取マルウエアのオペレーターが自らのマルウエアの機能向上を迫られており、さらにそういった状況に金銭的動機が組み合わさった結果、新たな情報窃取マルウエアやサービスが誕生していました。

今回のレポートでは、現在活動している情報窃取マルウエアに焦点をあてるとともに、以前から存在していた情報窃取マルウエアの進化や、新たな情報窃取マルウエアの誕生について詳述します。

2022年第1四半期のランサムウエア
被害組織とネットワークアクセスの販売状況

脅威インテリジェンスアナリスト ヤエル キション

ランサムウエアグループは、2022年第1四半期も引き続き重大な脅威となりました。彼らは、初期アクセス・ブローカー(IAB)をはじめとする様々なサイバー犯罪者と協働し、世界中の企業を攻撃しようと企んでいたのです。KELAは、2022年第1四半期におけるランサムウエアグループや初期アクセス・ブローカーの活動を監視した結果、以下の洞察を得ることができました。

2022年第1四半期のランサムウエア被害組織の総数は、2021年第4四半期の982組織から40%減少して698組織となりました。また、最も活発に活動を展開していたグループも、2022年の初旬以降はContiからLockBitへと変化しました。ただし、Contiが行った攻撃の件数については2022年1月に減少傾向がみられたものの、同グループの内部データがリークされた後に再び増加へと転じました。

  • 金融セクターが受けた攻撃件数は46件に上り、標的とされる業界のトップ5にランクインしました。またそれら攻撃のうち40%は、LockBitに関連づけられました。
  • ランサムウエアグループは、被害組織の名称を明かさないまま自らのブログに掲載するといった、新たな脅迫方法を取り入れていました。
  • 2022年第1四半期に売りに出されたネットワークアクセス数は、2021年第4四半期からわずかに増加しました。我々がモニタリングしたアクセス商品の件数は、2021年第4四半期は468件、2022年第1四半期は521件超(希望販売価格の合計金額は110万ドル以上)となりました。
  • ネットワークアクセス商品が売りに出されてから買い取られるまでの販売サイクルは平均で75日となりました。

我々は、売り出されているネットワークアクセスのうち150件以上について、そのアクセスを所有している組織(被害組織)を特定し、またその一部についてはBlackByteやQuantum、Alphvが実行したランサムウエア攻撃と関連があったことを確認しました。これらを踏まえ、攻撃で使用されたネットワークアクセスを購入したのは、非常に高い確率でランサムウエアアフィリエイトであったと考えられます。

 

ロシアのウクライナ侵攻がもたらしたサ イバー犯罪社会情勢の変化

脅威インテリジェンスアナリスト  エリーナ コルドブスキー

ロシアとウクライナは長きにわたり緊張関係にありましたが、2022年2月24日、ついにロシア軍がウクライナに侵攻する事態となりました。この侵攻が始まる直前、ロシアのウラジミール・プーチン大統領は、ウクライナがネオナチによって統治されているとの誤った非難を展開していました。また彼は、NATOがロシアの国家安全保障に対する脅威を形成していると主張し、ウクライナの加盟を禁止するようNATOに要請していました。

このようなロシアの挙動をうけて、多くの国々はロシアが西側諸国の組織や企業に対してサイバー攻撃を仕掛けてくる可能性があると推測し、米国にいたっては、NATOがロシアのサイバー攻撃に備えることができるよう「セキュリティ担当機関の幹部」を派遣しました。しかしこういった予想に反して、ロシアが大規模なサイバー攻撃を実行することはなく、ウクライナや欧州の国々が懸念していた大規模なサイバー攻撃は、過度な心配であったことが明らかとなりました。それでもロシアはウクライナの政府機関やインフラ、電気通信企業、その他の組織に対し、大規模な攻撃の代わりにDDoS攻撃やワイパー攻撃を実行しています。一方ウクライナは、自国防衛を目的として有志による「IT軍」を立ち上げ、今日にいたるまで世界中のハクティビスト組織とともにロシアの企業や組織を攻撃しています。

そしてこういった変化の波は、アンダーグラウンドのサイバー犯罪社会にも訪れています。以前は存在していなかった新たな違法サービスが登場し、政治に無関心であったはずのサイバー犯罪フォーラムで戦争に関する議論が交わされ、ハクティビストがロシアの有名なランサムウエアグループのソースコードを使用してロシアの企業を攻撃するなど、もはやサイバー犯罪社会の情勢は、これまでとは大きく様変わりしています。

今回のレポートでは、ロシアのウクライナ侵攻により、アンダーグラウンドのサイバー犯罪社会に生じた様々な変化を検証します。サイバー犯罪社会における繊細な地政学を理解し、現実社会に生じた危機がアンダーグラウンドのサービスやビジネスチャンスにどのような影響を与え、新たなトレンドを生み出すのかを理解する一助としてご活用ください。

初期アクセスがランサムウエア攻撃にいたるまで—5つの事例

KELAサイバーインテリジェンスセンター

成功しているランサムウエア攻撃は、いずれも攻撃者が被害者に気付かれることなくネットワークへ侵入するところから始まっています。一部の攻撃者は、被害者組織のネットワークアクセスを秘密裡に入手していますが、サイバー犯罪フォーラムやマーケットで商品として販売されているアクセスを利用している攻撃者も存在します。

そういった「商品」の一部は初期アクセス・ブローカー販売しており、彼らはランサムウエア・アズ・ア・サービス(RaaS)エコノミーの中で重要な役割を果たしています。初期アクセス・ブローカーは、不正アクセス先の組織が所有するコンピューターへのリモートアクセス

(ネットワークへの初期アクセス)を販売しており、彼らの活動がネットワークへの侵入を著しく容易にしていると同時に、無作為に行われる場当たり的なキャンペーンを標的型攻撃につなげる役割を果たしています。またその一方で、ランサムウエアアクターも理想的な被害者像に合致するネットワークアクセスを求めて、サイバー犯罪フォーラムの商品を積極的にチェックしています。

今回のレポートでは、商品として売り出されたネットワークアクセスが攻撃の発端となり、またそのアクセス販売開始から1 カ月以内にランサムウエア攻撃が開始された事例を数件取り上げて解説します。

KELA logo

Beware. Ransomware. 2021年に確認されたランサムウエアのトップトレンド

エグゼクティブサマリー

2021年においてもランサムウエア攻撃は、世界中の企業や組織を脅かす脅威
の中でも最も注目を集めました。重要なインフラストラクチャ(Colonial
Pipeline社)や食品加工産業(JBS Foods社)、保険(CNA社)をはじめとす
る多数の業界で大規模なランサムウエア攻撃が展開され、被害者となった
企業は業務の一時停止を余儀なくされました。またそれらの攻撃を受けて、
ランサムウエアグループに対する法執行機関の圧力が激しさを増しています
が、その一方でランサムウエア攻撃に従事する脅威アクターも進化を続けて
います。彼らはその技術をより洗練させると同時に、成長するサイバー犯罪
エコシステムを広範に活用して、自らのオペレーションに利用できる新たな
パートナーやサービス、ツールを模索しています。
本レポートでは、2021年に確認されたランサムウエア攻撃の被害者となった
組織についてKELAの知見を詳述するとともに、ランサムウエアグループの
活動(攻撃やサイバー犯罪フォーラムでの活動状況)をまとめました。また、
ランサムウエアアクターとその他のサイバー犯罪者たちの協力関係に関する
独自の調査結果も記載しております。

KELA logo

Contiから流出した 内部データの分析

ランサムウエアグループContiが、ロシアのウクライナ侵攻を支持する声明を発表しました。これを受けて2022年2月27日、ウクライナ人研究者と思われる人物が、同グループのメンバー間で交わされたやり取りをリークしました。KELAはこのグループの進化とTTP(戦術、技術、手順)、組織体制を理解するべく、このリーク情報を分析しました。
主な調査結果:

  • リークされたグループ内のやり取りから、当初は特定のランサムウエアグループに所属していなかったランサムウエア攻撃者たちの集団が進化していった流れが明らかとなりました。彼らは様々なランサムウエアを扱っており、RyukやConti、Mazeをそれぞれ別個のプロジェクトとして話し合っていました。そして彼らの活動が、最終的に現在のContiのオペレーションを形成するにいたりました。
  • Contiは様々なマルウエアやツールを使用していました。我々は、ContiとTrickBotやEmotet、BazarBackdoor(初期アクセスを入手するために使用)に強いつながりがあったことを裏付ける証拠を発見しました。またランサムウエアDiavolは、Contiの「サイドプロジェクト(本業とは別のプロジェクト)であると思われます。合法ツールについては、ContiがVMware CarbonBlackやSophosの製品をテストしようとしていたことが明らかとなりました。
  • Contiは、初期アクセス・ブローカーのサービスを利用して初期アクセスを入手していました。
  • リークされた会話の中では、約100の被害者(組織)が言及されていましたが、Contiのブログではその約半分が公開されていませんでした。この点を調査する中で、ランサムウエア展開前後の様々なステップをはじめとする攻撃プロセスが明らかとなりました。
  • Contiのメンバーは、米国の公的セクターを攻撃することに興味を示していました。
  • Contiのグループは高度に組織化されており、ハッカー、コーダー、テスター、リバースエンジニアリングスペシャリスト、クリプター、OSINTスペシャリスト、交渉者、ITサポート、HRなどのチームで構成されています。
  • KELAは、アクターの上位15人(やり取りされたメッセージの件数に基づく)に関する詳細な説明と、彼らの相関図を作成しました。

完全に信用できるアクターなど存在しない― ソース検証の重要性

KELAサイバーインテリジェンスセンター

ランサムウエアブログのリストに掲載される被害者の数は、過去数年間で劇的に増加しています。また攻撃者たちの間で「二重恐喝」戦術が普及した現在、企業はコンピューターのロックを解除することに加え、データの公開を阻止するためにも金銭を支払わざるをえない状況に直面しています。KELAは、ランサムウエアグループのブログを定期的に監視しており、そこではランサムウエア攻撃を受けた被害者の名前やデータが公開されています。一方で、必ずしもランサムウエアを使用しているわけではないものの、同様のリークサイトを運営しているアクターも存在します。彼らは別の侵入方法を使ってデータを窃取し、そのデータを外部に公表する(または第三者に販売する)と言って被害者を恐喝することもあれば、他の攻撃者が窃取したデータを再販することもあります。さらには、過去のリーク情報や実際には存在しないリーク情報を使って詐欺とも呼べる恐喝行為を行うアクターも存在します。

こういった「オファー」の存在は、サイバーセキュリティ情勢に直接的な影響を及ぼすとともに広範にわたってノイズを生成し、サイバー脅威研究者が真の脅威に焦点を絞る上での妨げとなります。つまり、我々がソースを注意深く監視してあらゆる情報を額面通りに受け止める前に、まずソースそのものを検証することが非常に重要であるということです。今回のブログでは、我々が新たなソースを検証し、脅威のレベルを評価する方法について、以下のサイトを取り上げながら解説してゆきます。

  • Amigos
  • Coomingproject
  • Dark Leaks Market
  • Quantum
  • Groove

人気上昇中のログマーケット「2easy」

KELAサイバーインテリジェンスセンター

KELAは、アンダーグラウンドのサイバー犯罪社会に広がるコミュニティやマーケットを継続的に監視しています。そして最近その監視活動の中で、攻撃者が窃取したユーザー情報を売買するマーケット「2easy」の活動が、さらに活発さを増していることを発見しました。2easyはアンダーグラウンドの中でも比較的新しいマーケットであり、自動化されたプラットフォームでサービスを提供しています。そこでは様々な脅威アクターが世界中のマシン(ボット)から収集したログ(データやブラウザに保存された情報)が売買されており、今日では約60万台のボットから収集された情報が同マーケットで売り出されています。

KELAがそのテクノロジーを駆使して2easyからデータを収集し、分析した結果、2021年12月時点で同マーケットに「情報窃取型マルウエアが収集したログ」を提供する販売者が18人存在することが明らかとなりました。また、この分析作業で特定された販売者がアンダーグラウンドのサイバー犯罪社会で他にどのような活動を行っているのか、そして様々なサイバー犯罪サイトでは2easyについてどのようなフィードバックが投稿されているのかを調査した結果、資格情報を売買するサイバー犯罪者の大半が2easyについて肯定的な評価を投稿しており、彼らの間で同マーケットが一定の認知度を得ていることが判明しました。これらの調査結果をふまえ、KELAは2easyで販売されている資格情報の大半は有効であり、組織に直接的な脅威をもたらす可能性があるものであると評価します。また我々が2easyを分析した結果、売り出されているログの情報源となったマシンの50%以上がRedLineに感染しており、同マーケットの販売者の間では情報窃取型マルウエア「RedLine」が最も人気を博していることが判明しました。

ランサムウエア集団にとって理想的な標的とは?

脅威インテリジェンスアナリスト  ヴィクトリア・キヴィレヴィッチ

2021年7月、KELAは、脅威アクターらがアクセスの買い取りを呼びかけるスレッドを立ち上げている状況を観察しました。立ち上げられたスレッドには、買い取りにあたっての希望条件なども記載されており、一部の脅威アクターらが情報窃取型マルウエアを展開したり、その他の不正行為を行う目的でアクセスを購入していることがうかがえました。そしてその一方で、他の脅威アクターらは、ランサムウエアをインストールしてデータを窃取することを目的としていました。そこで我々は、アクセスの買い取りを呼びかける脅威アクターらの中でも、特にランサムウエア集団にとって価値あるものとはいったい何であるのかを突き止めるべく調査を行い、「ランサムウエア集団にとって理想の標的」のプロファイルを作成しました。

今回の調査の要点は以下の通りです。

  • 2021年7月、KELAは、脅威アクターらが様々な種類のアクセスを買い取ると呼びかけているスレッドを48件発見しました。そのうち46%に該当するスレッドは7月中に作成されており、商品としてのアクセスに対して確実な需要がある状況を示唆しています。
  • アクセスの買い取りを呼びかけているアクターらの40%が、ランサムウエア・アズ・ア・サービス (RaaS)のサプライチェーンで活動しているオペレーターやアフィリエイト、仲介業者などであることが判明しました。
  • ランサムウエア集団は、理想とする標的の収益や地域を指定する一方で、特定の業界や国を攻撃対象から除外し、彼らなりの「業界基準」を確立していると思われます。2021年7月に活動していた脅威アクターらが買い取りを希望していたのは、概して収益1億ドル以上を有する米企業へのアクセスでした。ただし彼らの約半分は、医療・教育関連企業のアクセスについては買い取らない旨をスレッドに記載していました。
  • ランサムウエア集団は、最も基本的な買い取り商品としてRDPやVPNを悪用したアクセスを挙げているものの、あらゆる種類のネットワークアクセスを買い取りの対象としています。ネットワークへのアクセスに利用できる製品の中で、彼らがアクセスを買い取りたいと名を挙げていたのは、Citrix社やPalo Alto Networks社、VMware社、Fortinet社、Cisco社のソリューションでした。
  • アクセスにかける予算については、最高で10万米ドルまで支払うとしているランサムウエア集団もいますが、大半のランサムウエア集団は、その約半額となる5万6,250ドルを上限としています。
  • それぞれのランサムウエア集団が定めている標的の要件と、彼らが初期アクセス・ブローカーらに対して要求している商品(アクセス)や条件の内容には様々な共通点が見られます。これは、ビジネス社会と同じようにランサムウエア業界の活動においても、標準化の波が訪れていることを表しています。

初期アクセス・ブローカーの間に生まれた5つのトレンド

脅威インテリジェンスアナリスト  ヴィクトリア・キヴィレヴィッチ

KELAは、過去1年以上にわたって初期アクセス・ブローカーの動向と、彼らがアンダーグラウンドのサイバー犯罪フォーラムに売り出したネットワークへの初期アクセスについて追跡調査を行ってきました。「初期アクセス」とは、不正アクセスを受けた組織が使用しているコンピュータへのリモートアクセスを意味する用語です。そして、そういったアクセスを販売する脅威アクターは「初期アクセス・ブローカー」と呼ばれています。初期アクセス・ブローカーは、場当たり的にキャンペーン(作戦活動)を展開して組織や企業のネットワークを侵害し、ネットワーク内にあるコンピュータへのリモートアクセスを窃取して、アンダーグラウンドで販売しています。その買い手には、ランサムウエアオペレーターをはじめとする標的型攻撃の実行者達も多く含まれており、販売されている初期アクセスを利用することで、彼らにとってもネットワークへの侵入が非常にたやすい作業となっています。つまり、初期アクセス・ブローカーは、ランサムウエア・アズ・ア・サービス (RaaS)エコノミーにおいて今や重要な役割を果たす存在となっているのです。

今回の調査では、初期アクセス・ブローカーの動向と、2020年7月1日から2021年6月30日までの1年間における彼らの活動を観察し、詳細な分析を行いました。そして我々は、初期アクセス・ブローカーの果たす役割がアンダーグラウンドのサイバー犯罪業界でさらなる人気を集め始めたこの1年間における彼らの活動を分析し、その分析を通じて発見した5つの主要なトレンドを本レポートにまとめました。