ランサムウェア攻撃はアクターのエコシステムで構成されています。 専門のダーク Web マーケットプレイスやフォーラムで、サービスやパートナーシップの広告や提供が行われています。 ランサムウェア オペレーターは 20 ~ 40% の利益分配を受け取り、残りはパートナーに残ります。 . ビジネス アクセスは 50 ドルから。
データを暗号化し、身代金を要求するランサムウェア攻撃は、あらゆる規模と業界の企業を襲っています。 俳優が恣意的に行動しているという印象を簡単に与えることができます。 しかし実際には、その背後には複雑なエコシステムがあり、それぞれが個別の役割を担っているさまざまなアクターが存在します。 アンチランサムウェア デーを記念して、Kaspersky は新しいレポートでランサムウェアの背後にある複雑なエコシステムに関する情報を提供しています [1]。
ランサムウェア エコシステムはパートナーを探しています
オファーの例: 会社へのユーザーのリモート デスクトップ アクセスがここで提供されます (画像: Kaspersky)。
開発者、ボット マスター、クレデンシャル ベンダー、ランサムウェア オペレーターなど、ランサムウェア エコシステムはさまざまなプレーヤーで構成されています。 それらはすべて、ダークネットの広告を通じてさまざまなサービスを提供しています [2]。 独立した著名な専門家グループは通常、そのようなサイトにアクセスすることはありませんが、たとえば、REvil は、最近の四半期で組織を標的にすることが増えており、現在、アフィリエイト プログラムを通じてオファーやニュースを定期的に投稿しています。 これにより、ランサムウェア オペレーターと顧客の間にパートナーシップが生まれ、ランサムウェア オペレーターは販売者として 20 ~ 40% の利益分配を受け取り、残りの 60 ~ 80% は「アフィリエイト パートナー」に残ります。 パートナーの選択は、ランサムウェア オペレーターによって設定されたルール (地理的な制限や政治的連携など) を使用した精巧なプロセスに従いますが、ランサムウェアの被害者は効用を最大化する方法で選択されます。
共通の利益追求
販売者と顧客またはパートナーは、利益を追求する共通の目的を共有しています。そのため、最も感染している組織は、特にアクセスしやすい単純な標的であることがよくあります。 このようなアクセスは、オークション プラットフォームで競売にかけられるか、ダークネット フォーラムで 50 米ドルからの固定価格で提供されます。 攻撃者のほとんどは、大規模で広範なキャンペーンに参加し、被害者のデバイスへのアクセスを大量に販売するボットネットの所有者です。 一方、クレデンシャル ベンダーは、組織への侵入に使用できる VPN アプリケーションや電子メール ゲートウェイなど、インターネットに接続されたソフトウェアに公開されている脆弱性を常に監視しています。
ランサムウェア オペレーターは通常、マルウェア サンプルとランサムウェア ビルダーを 300 ドルから 4.000 ドルで販売しています。 もう 120 つのビジネス モデルは、サービスとしてのランサムウェアです。この場合、ランサムウェアは、月額 1.900 ドルまたは年間 XNUMX ドルで、開発者から継続的なサポートを受けて提供されます。
一緒にリスクを話し合い、対策を講じる
ダーク Web では、ランサムウェアは、製品情報と価格が記載された 1、6、および 12 か月のさまざまなパッケージとしてサブスクリプションとして提供されます (画像: Kaspersky)。
INTERPOL のサイバー犯罪担当ディレクターである Craig Jones 氏は、次のように述べています。 「このような攻撃は、もはや大企業や政府機関に限定されません。 ランサムウェア オペレーターは、その規模に関係なく、ほぼすべての組織を攻撃する準備ができています。 ランサムウェア業界は、さまざまな役割を持つさまざまなプレイヤーが関与する複雑な業界です。 それについて何かをするためには、それがどのように機能するかを学び、団結して戦う必要があります. Anti-Ransomware Day は、意識を高め、効果的なセキュリティ プラクティスを使用することの重要性を一般の人々に思い出させる良い機会です。 INTERPOL のグローバル サイバー犯罪プログラムとそのパートナーは、ランサムウェアの世界的な影響を軽減し、この増大する脅威によって引き起こされる被害から社会を保護することに全力で取り組んでいます。」
多様なランサムウェア エコシステム
Kaspersky の Global Research and Analysis Team (GReAT) のセキュリティ研究者である Dmitry Galov は、次のように付け加えています。 「市場は常に変化しており、日和見主義者もいれば、非常に専門的で知識豊富なプレーヤーもいます。 彼らは特定のターゲットを選択しませんが、システムへのアクセス権を取得した場合、規模に関係なく、あらゆる組織を攻撃する可能性があります。 あなたのビジネスは繁栄しており、すぐに消えることはありません。 幸いなことに、かなり単純なセキュリティ対策で攻撃者を阻止できます。 定期的なソフトウェアの更新やバックアップなどの標準的な手順は、すでに役に立っています。」
Kaspersky の Global Research and Analysis Team (GReAT) のシニア セキュリティ リサーチャーである Ivan Kwiatkowski は、次のように述べています。 「私たちのレポートを通じて、IT セキュリティ コミュニティが適切な対策を講じられるように、ランサムウェア攻撃がどのように組織化されているかを正確に理解するのに役立つことを願っています。」
Kaspersky.com の SecureList の詳細
カスペルスキーについて Kaspersky は、1997 年に設立された国際的なサイバーセキュリティ企業です。 Kaspersky の脅威インテリジェンスとセキュリティに関する深い専門知識は、革新的なセキュリティ ソリューションとサービスの基盤として機能し、世界中の企業、重要なインフラストラクチャ、政府、および消費者を保護します。 同社の包括的なセキュリティ ポートフォリオには、最先端のエンドポイント プロテクションと、複雑で進化するサイバー脅威から防御するためのさまざまな専門的なセキュリティ ソリューションとサービスが含まれています。 400 億を超えるユーザーと 250.000 の法人顧客がカスペルスキーのテクノロジーによって保護されています。 カスペルスキーの詳細については、www.kaspersky.com/ をご覧ください。