ランサムウェア集団はサイバー犯罪者を誘い込むための新たなアフィリエイトモデルで進化している

ランサムウェアの状況は急速に進化を続けており、Secureworksの最新調査では、脅威アクターがサイバー犯罪に対してより企業的なアプローチを取っていることが明らかになりました。DragonForceとAnubisという2つのランサムウェアグループは、サービス内容、ブランディングの柔軟性、サポート体制など、合法的なビジネス構造を模倣した拡張アフィリエイトプログラムを提供しています。

こうした展開は、スキルの低い攻撃者が壊滅的なランサムウェア攻撃を開始するのが驚くほど容易になっているモデルである、サービスとしてのランサムウェア (RaaS) の世界における憂慮すべき傾向を示しています。

Table of Contents

ドラゴンフォースがサイバー犯罪カルテルに変貌

2023年8月に初めて表面化したRaaS事業体であるDragonForceは、最近、より分散化された組織への移行を示唆する動きとして、「カルテル」としてブランド名を変更しました。セキュアワークスの脅威対策ユニット（CTU）によると、同グループは現在、サイバー犯罪者が独自のランサムウェアブランドを作成できる独自のアフィリエイトモデルを提供しています。

DragonForceは、アフィリエイトにランサムウェアの使用を強制するのではなく、管理パネルとクライアントパネル、暗号化ツール、身代金交渉システム、データストレージソリューション、Torベースのリークサイト、カスタマーサポートなどを含む自社インフラへのアクセスを提供しています。この柔軟性は、独自のマルウェアを保有しているものの、ロジスティクス、インフラ、被害者とのやり取りに関して支援を必要としている攻撃者にとって魅力的です。

このモデルはより幅広いサイバー犯罪者を引き付ける可能性がある一方で、リスクも伴います。1つの関連会社が侵害されると、共有インフラに接続している他の関連会社も危険にさらされ、組織的な攻撃ネットワーク全体が崩壊する可能性があります。

アヌビスは3種類のランサムウェアパートナーシップを提供

もう一つのRaaS事業者であるAnubisも、3つの異なるアフィリエイトモデルを導入することで、従来の枠組みを打破しようとしています。それぞれが、攻撃を収益化しようとする犯罪者に異なる道筋を提供します。

典型的な RaaS 設定で、アフィリエイトが身代金の 80% を受け取ります。
パスワードで保護されたサイトに被害者の詳細な分析を掲載し、被害者に支払いを迫る「データ身代金」モデル。
アフィリエイトが以前に侵害を受けた被害者から身代金の50％を脅迫するのを支援する「アクセス収益化」モデル。

データ身代金の手法は、犯罪的なコンテンツマーケティングの一形態に酷似していることが特徴的です。Anubisの運営者は、被害者の盗まれたデータに関する「調査記事」を公開し、それを被害者と個人的に共有し、支払わない場合は情報が公開されると警告します。彼らはソーシャルメディアを利用して圧力を強め、顧客や規制当局への情報開示を脅迫することさえあります。

ランサムウェア運営者は今や企業のように活動している

これらのアフィリエイトモデルは、現代のランサムウェアグループが合法的な企業のように活動するようになっていることを示しています。技術サポートの提供からブランドのカスタマイズまで、これらの戦略はより幅広い攻撃者層にアピールするように設計されています。実際、DragonForceのサービスは、合法性を除けば、マネージドサービスプロバイダーに非常に似ています。

Secureworksの脅威インテリジェンス担当ディレクター、レイフ・ピリング氏によると、防御側はランサムウェア集団をビジネス組織として捉え始めるべきだという。これらの脅威アクターは、収益を追い求め、法執行機関による取り締まりや身代金支払いの減少など、サイバー犯罪エコシステムの変化に迅速に対応し、適応していく。