トレンドマイクロは、ランサムウェアグループ「XingLocker Team」の活動を調査するなかで、フランチャイズ事業にヒントを得たと見られる比較的新しく興味深い「ビジネスモデル」を発見しました。具体的には、「RaaS」と呼ばれるランサムウェアサービス(Ransomware as a Service)を利用する攻撃者が、RaaSで提供されたランサムウェアをそのまま使用するのではなく、そのランサムウェアを展開する前にリブランディングします。ランサムウェアを使用する攻撃者たちは創意工夫を凝らして身代金を獲得するためのビジネスを展開することで知られており、標的とする企業や組織がランサムウェアに対して対策を行うセキュリティソリューションを採用するにつれて、さらに高度化し続けます。
「XingLocker」は、Windowsシステムを標的とするランサムウェアファミリの1つです。XingLockerは、ランサムウェア「Mount Locker」がリブランディングされたものです。そのランサムノートでは、オリジナルのMount Lockerとは異なるOnionサービス(匿名ネットワークTorを介してのみアクセスできる匿名性の保たれたサイト)が被害者に示されています。
ランサムノート上のリンクをクリックした場合に表示される
Mount Lockerグループおよび別のランサムウェアグループ「AstroLocker Team」との関連性については、2021年3月にセキュリティベンダ「Sophos」がすでに調査していました。図1のサポートページとSophosのブログ記事に掲載されているものを比較することで、XingLocker TeamもMount Lockerグループのフランチャイズであることが推測できます。これらの点と点をつなげてみると、2つのフランチャイズには関連性があることもわかりました。以下のセクションで詳しく説明します。
■ XingLocker TeamとAstroLocker Teamの関連性
トレンドマイクロは当初、XingLockerは単にMount Lockerがリブランディングされたものであり、同一グループによって運営されているものと考えていました(ランサムウェアのビジネスではよくある手法です)。しかし、被害者ごとに異なるOnionアドレスを使用していることに、トレンドマイクロは注目しました。XingLocker Teamは、多くの事例で展開されているように複数のサーバを設定するのではなく、同一サーバを指す複数のアドレスを作成しました。
これだけではあまり意味がありませんが、このサーバに対するHTTPリクエストを分析すると、他のディレクトリが存在することも明らかとなりました。これらのディレクトリには、別のグループ「AstroLocker Team」の被害に遭った企業のデータが保存されていることがわかりました。図2では企業名を伏せていますが、これらの企業はXingLocker TeamではなくAstroLocker Teamの被害者として知られています。
■ ランサムウェアグループによって共有されるインフラ
当該調査時点でトレンドマイクロは、少なくとも4つの異なるサーバで使用されている15個のOnionアドレスを確認しましたが、3つのサーバは今も不明な状態です(表1)。
| アドレス | サーバ |
| w6ilafwwrgtrmilorzqex6pgpvfsa667fydca2wpoluj6sajka225byd[.]onion | A |
| accdknc4nmu4t5hclb6q6kjm2u7u5xdzjnewut2up2rlcfqe5lootlqd[.]onion | A |
| c6zkofycoumltpmm6zpyfadkuddpmlqk6vyd3orrfjgtq3vrgyifl6yd[.]onion | A |
| 3klsbd4dwj3yqgo4xpogfgwqkljbnbdxjryeqks2cjion5jj33wvkqyd.onion | B |
| yk7erwdvj4vxcgiq3gmcufkben4bk4ixddl5j2xvu7gurtdq754jmiad.onion | B |
| z4cn6lpet4y4r6mdlbpklpcrjdruwb6kiuvxn6gsiuoub23z6prlx6ad.onion | B |
| ibih5znjxf2cqgo737xmooyvmxhac45wd4rivh6n5hd7fysn42g3fayd.onion | B |
| ikrah6fb4e6r2raxkyvyoxp22jam5z6ak5ajfnzxutmassoagvr2bhad.onion | B |
| hceesrsg6f5p4gcph4j6jv6vl4mkmaik735oz4r45lgjfyedsxfoprad.onion | B |
| qfgh2lpslhjb33z3wsenmqrxcdragelinvcpowlgkbjca6yig5zloeyd.onion | B |
| x4mjvffmytkw3hyu.onion | C |
| tpze4yo74m6qflef.onion | D |
| evl425tkt4hkwryyplvqu6bn6slfow3fa4xwgvwe5t4zf6gizs3ewuyd.onion | 不明 1 |
| xingnewj6m4qytljhfwemngm7r7rogrindbq7wrfeepejgxc3bwci7qd.onion | 不明 2 |
| zckdr5wmbzxphoem77diqb2ome2a54o23jl2msz3kmotjlpdnjhmn6yd.onion | 不明 3 |
表1:異なるサーバで使用されているOnionアドレス
そして以下の表2は、これらのサーバがどのランサムウェアグループと関連しているかを示しています。
| サーバ | XingLocker Team | AstroLocker Team |
| A | x | |
| B | x | x |
| C | x | x |
| D | x | |
| 不明 1 |
x | |
| 不明 2 |
x | |
| 不明 3 |
x |
表2:XingLocker TeamおよびAstroLocker Teamに関連する様々なサーバ
これは高度な技術革新ではありませんが、ランサムウェアグループが自身のアフィリエイトプログラムやRaaSビジネスを運営するための新たな方法を模索していることを強調しておく必要があります。このような形でインフラやコードが共有されると、調査の観点から事態が難しくなる可能性があります。XingLockerの検体がMount Lockerとして検出されたり、同じOnionサービスを指す2つの異なるOnionアドレスが複数のランサムウェアグループによって使用されていたりすることも珍しくありません。セキュリティ担当者はランサムウェアを調査する際に、これらの要因に注意する必要があります。
なぜこれらの要因に注意する必要があるかと言うと、RaaSモデルの多くは、実行役であるアフィリエイトがRaaSの提供者と協働して特定の名前を付けたランサムウェアをできるだけ多くのPC端末上にインストールさせ、最終的に被害者に支払わせた身代金を分配することで運営が成り立っています。これは、被害者が攻撃されたランサムウェアについて調べた際に多くの被害報告を目にすることで、不安や恐怖心にかられて身代金を支払ってしまう可能性を高めることができるため、攻撃者にとって有利な状況となります。不利な点としては、アフィリエイトは匿名性が高く、これらの攻撃基盤を自身の犯罪ビジネスの基盤として利用することができないことが挙げられます。
トレンドマイクロではこれらの調査と考察から、XingLocker、AstroLocker、Mount Lockerなどのランサムウェアは「フランチャイズ」方式を採用した新たなRaaSモデルであるものと結論付けました。このビジネスモデルでは、主力となるRaaS(本記事ではMount locker)からアフィリエイトがランサムウェアのライセンスを取得し、自身で命名した名前やブランドを用いてリリースしているようです。上記のシナリオにおいてアフィリエイトは、一般の食品サプライヤーから製品を調達している地元のハンバーガーショップのマネージャーのようなものです。商品の原材料は親会社(フランチャイズ本部)から供給されますが、個々の事業者(アフィリエイト)は、自身で冠した名前やイメージを用いた独自のブランドでビジネスを展開します。この方法は、アフィリエイト、特に中堅の犯罪組織のリーダーを目指す人たちにさらなる柔軟性と認知度を与えます。欠点の1つとしては、個々のランサムウェアのブランド認知度が低下するため、被害者の身代金を支払う意欲を減退させる可能性があります。もちろん、この方法は多くのランサムウェア名やブランドを追加することから、調査側の追跡を困難にします。
■ ランサムウェアの被害に遭わないためには
ランサムウェアは継続的に高度化する脅威であるため、企業や組織は常に最善かつ効果的なセキュリティポリシーおよび対策を維持する必要があります。本記事では、米国の非営利団体「Center of Internet Security(CIS)」および「米国標準技術研究所(NIST)」が策定したフレームワークから、組織がLockBit 2.0のようなランサムウェアを含むサイバー攻撃を防ぎ、その影響被害を軽減するためのベストプラクティスをいくつかご紹介します。
- 監査と棚卸:
組織が所有するすべての資産およびデータの棚卸を作成し、特定のシステムへのアクセスを許可する、あるいは不許可とするPC端末、ソフトウェア、人員を特定すること。イベントやインシデントのログをすべて監査・監視し、異常なパターンや行動を特定すること。 - 設定および監視:
ハードウェアやソフトウェアの設定を意図的に管理し、絶対に必要な場合にのみ特定の担当者に管理者権限やアクセス権を付与すること。ネットワークのポート、プロトコル、およびサービスの使用状況を監視すること。ファイアウォールやルータなどのネットワークインフラ機器にセキュリティ設定を実施し、悪意のあるアプリケーションの実行を防ぐためにソフトウェアの許可リストを作成すること。 - 最新のパッチおよびアップデートの適用:
定期的に脆弱性評価を実行し、OSやアプリケーションに対して最新のパッチまたは仮想パッチを適用すること。インストールされているソフトウェアやアプリケーションがすべて最新版に更新されていることを確認すること。 - 保護と復旧 データの保護、バックアップ、およびリカバリの実施:
同様に使用するすべてのPC端末やプラットフォームに、可能な限り多要素認証を導入すること。 - 安全と防御:
サンドボックス分析を行い、悪質な電子メールを調査してブロックすること。電子メール、エンドポイント、ウェブ、ネットワークなど、システムの全レイヤーに最新のセキュリティソリューションを導入すること。システム内の不審なツールの存在など、攻撃の初期兆候を発見し、人工知能(AI)や機械学習を搭載したものなど、高度な検知技術を有効化すること。 - トレーニングやテストの実施:
セキュリティスキルの評価と全担当者へのトレーニングを定期的に行い、レッドチームによる演習やペネトレーションテストを実施すること。
■ トレンドマイクロの対策
「Trend Micro Vision One
」は、XDR(Extended Detection and Response)ソリューションを超える付加価値と新たなメリットを提供し、企業が「より多くを把握し、迅速に対応する」という目的を実現する脅威防御のプラットフォームです。メール、エンドポイント、サーバ、クラウドワークロード、ネットワークといった複数のセキュリティレイヤーにまたがる情報を収集し、自動的に相関させる深く幅広いXDR機能を提供する「Trend Micro Vision One」は、自動化された防御機能によって攻撃の大半を防ぐことが可能となります。
法人向けのエンドポイント製品「Trend Micro Apex One」や中小企業向けのクラウド型エンドポイントセキュリティサービス「ウイルスバスタービジネスセキュリティサービス」では、「FRS」技術によるウイルス検出と同時に、機械学習型検出や挙動監視機能(不正変更監視機能)の強化により、侵入時点で検出未対応のランサムウェアであっても警告可能です。
また「Trend Micro Apex One」は事前防御(EPP)と事後対応(EDR)を統合し、高い防御力を実現します。また、クロスジェネレーション(XGen)セキュリティアプローチにより、高い検出率と誤検出/過検出の回避を両立しつつ、コンピュータへの負荷軽減を実現します。
「Trend Micro Hybrid Cloud Security」として提供されるセキュリティソリューションは、クラウドネイティブシステムとその多様なレイヤーを保護するのに役立ちます。ソリューションとして提供される製品群は継続的インテグレーションおよび継続的デリバリー(CI / CD)パイプラインとアプリケーションの自動保護を提供するクラウドビルダー向けのセキュリティサービスプラットフォーム「Trend Micro Cloud One」を利用しています。また、セキュリティの問題をいち早く特定して解決し、DevOpsチームの問題解決速度を改善するのにも役立ちます。Trend Micro Cloud Oneには、以下が含まれています。
- 「Trend Micro Cloud One Workload Security」: データセンター、クラウド、 コンテナを保護する多層防御・脆弱性対策を提供するクラウド型セキュリティ
- 「Trend Micro Cloud One Container Security」:コンテナイメージのスキャン、アドミッションコントロール、コンテナの実行時保護をまとめて実現
- 「Trend Micro Cloud One File Storage Security」:クラウドファイル/オブジェクトストレージのためのセキュリティ
- 「Trend Micro Cloud One Network Security」:マルチクラウド環境のための強力なネットワークレイヤのセキュリティ
- 「Trend Micro Cloud One Application Security」:コンテナ、サーバレスなどに構築された最新のアプリケーションおよびAPI向けセキュリティ
- 「Trend Micro Cloud One Conformity」:クラウドインフラストラクチャの継続的なセキュリティ、コンプライアンス対応状況の確認および可視化
スパムメールへの対策は、法人向けメールセキュリティ製品/サービスである「Trend Micro Email Security」、「Deep Discovery Email Inspector」や「Trend Micro Cloud App Security」などにより不審なメールやその添付ファイルをブロックすることができます。
■ 侵入の痕跡(Indicators of Compromise、IoC)
今回の記事に関する侵入の痕跡は、こちらを参照してください。
参考記事:
- 「Ransomware Operators Found Using New “Franchise” Business Model」
by Fernando Merces
記事構成:岡本 勝之(セキュリティエバンジェリスト)
平子 正人(セキュリティマーケティンググループ)
翻訳:益見 和宏(Core Technology Marketing, Trend Micro Research
The post ランサムウェアビジネスに新たに採用された「フランチャイズ」方式を解説 first appeared on トレンドマイクロ セキュリティブログ.