出口詐欺を働いたBlackCatと、テイクダウン後に復活を企てて失敗したLockBit。この2組の脅威アクターは、ランサムウェア・アズ・ア・サービス(RaaS)エコシステムの中心的存在から呆気なく失脚しました。2024年の第1四半期に報告されたランサムウェア攻撃は全体的に増加していますが、こういった最近の出来事により、ランサムウェアアクターの間に広がる緊張がさらに高まっただけでなく、それぞれの活動方法も明らかに変化し始めています。
*本記事は、弊社マキナレコードが提携する英Silobreaker社のブログ記事(2024年5月15日付)を翻訳したものです。
注目すべき点は、詐欺行為、法執行活動の成功、そして著名な復号ツールの開発によって、オンラインハッカー界に緊張と不信の底流が生じていること。そして、さまざまなランサムウェアアクターがそれを利用しておきながら、同じくらいの熱量でその不信を払拭しようとしている点です。先日公開されたランサムウェア関連レポートに続き、これらの要因とその影響に加え、今後のランサムウェア脅威ランドスケープへの影響を分析しました。
大きな成果を上げ続ける法執行機関
2024年2月20日に発表された「Operation Cronos」は大規模な国際共同捜査作戦で、LockBitのデータリークサイト、さまざまなアフィリエイトサーバーやサポートサーバー、さらにLockBitの管理パネルをテイクダウンすることに成功。オペレーター2人も逮捕した法執行機関側は、侵害したLockBitのWebサイトを通じて復号鍵を公開するとともに、同グループとその活動に関する情報を発信しました。トレンドマイクロの観測によると、LockBitの活動はその後に著しく減少し、テイクダウンの翌月には小規模な攻撃クラスターが1件しか確認されていません。Operation Cronosという作戦は、ほかの作戦から切り離されたものではなく、Hiveランサムウェアグループ(2023年1月)やRansomedVC(2023年11月)を含め、重要なランサムウェアをテイクダウンした最近の成功例が活用されたものでした。こうした取り組みは多くの場合、ランサムウェア復号ツールをリリースする形で補完され、最近ではRhysidaやBianLian、Hiveのほか、Babuk Locker用の新たな復号ツールも開発されています。Operation CronosにはBlackCatのテイクダウンが短命に終わった2023年12月の失敗から得た教訓が生かされており、そのハイブリッドなアプローチは称賛を集めました。
テイクダウンで信用は水の泡に
Webサイトやサーバーなどの物理的なテイクダウンなら、いずれ復元される可能性がなくはありません。しかし、こういった取り組みで「信用」に傷をつけることは、ランサムウェアアクターにおそらくそれ以上の大きなダメージを与えます。信用はRaaSオペレーションを成功に導くための基盤であると同時に、アフィリエイトを安心させ、被害者を震え上がらせる根拠となるだけでなく、オンライン上のハッカーコミュニティで良好な関係を維持するために欠かせません。
LockBitの代表者とされるLockBitSuppはOperation Cronosの後、アフィリエイトへの詐欺疑惑でハッキングフォーラムのXSSとExploitから追放された上、この流れに乗じた複数のユーザーからさらなる非難と苦情を浴びせられました。LockBitSuppの追放劇は公開処刑の様相を呈し、LockBitSuppのフォーラムページには「Ripper」(詐欺師)のステータスが付与されます。結果として同アクターにはハッカー界の最下層民の烙印が押されたばかりでなく、活動継続が脅かされる可能性も生じました。
オンラインアクターの間に緊張が走ったもう1つの要因は、LockBitSuppが法執行機関に協力したという憶測でした。何か卑怯な手を使わない限り、最も悪名高いランサムウェアグループの1つが陥落するはずはないとの持論を正当化する者も現れています。法執行機関側が曖昧な言葉でLockBitSuppとのやり取りをほのめかしたことで、こうした不安には拍車がかかりました。また、LockBitが最初にどうやって侵害されたのかに関する懸念は、ランサムウェアグループの根底にあるこのパラノイア的な、つまり被害妄想的な感覚をさらに強める結果となり、Snatch RaaSのオペレーターを含む多くのランサムウェアグループがそれぞれ侵害の潜在的なリスクを突き止めようと躍起になりました。
Operation Cronosのインパクトは明らかに、LockBitの評判だけでなく、法執行機関と「密告」の双方を警戒するオンラインハッカー全体の心理にかなりの影響を与えています。これと同じような事態は、RansomedVCオペレーションが停止した後にも発生していました。脅威アクターUSDoDがRansomedVC作成者のRansomedSupportを断罪し、法執行機関と手を組んだ上、アフィリエイトの逮捕につながる情報を流した裏切り者だと非難したのです。この2つの出来事が示しているのは、テイクダウンや活動停止をきっかけに、その対象となった脅威アクターに大きなダメージを与える非難や憶測が渦巻くこと。そしてその非難と憶測の一部は、失脚するグループの地位を狙う競合アクターに悪用される可能性があるということでした。また同様に、この被害妄想的感覚によって、法執行機関側にはハッカーコミュニティにさらなる不信感を植え付ける十分な機会が提供されます。これからの法執行活動は、LockBitのテイクダウンと類似した戦術を活用しつつ、戦略的曖昧さで不安を煽る作戦が採られることになりそうです。
詐欺、背信、不正が脅威アクター間で蔓延
BlackCatはChange Healthcareを狙った大規模なランサムウェア攻撃に続き、今年3月に出口詐欺を働きました。BlackCatがそれまで評価の高いグループとして、またLockBitの後を継ぐ可能性がある存在として注目されていた背景を踏まえると、ハッカー界に渦巻く不信や被害妄想にまったく根拠がないとは言い切れません。BlackCatは過去に自らがテイクダウンされた際に使われたFBIの差し押さえバナーを再利用し、これをリークサイトに再びアップしてまたもや差し押さえられたかのように偽装。このでっち上げのテイクダウンを理由に活動を停止し、アフィリエイトに分配する資金の持ち逃げを正当化しました。この詐欺行為が示したのは、法執行機関の取り組みにまつわるハッカーの警戒心から生まれる、もう1つの新しい結果です。つまりBlackCatの事例は、脅威アクターが自身の詐欺行為の信憑性を高めるために「法執行機関をめぐるパラノイア」を武器にするかもしれないこと、そして法権力がテイクダウン後に意図的な曖昧さを用いることで、このようなスキームのインパクトが増幅されることを示唆しています。また、恐怖が継続的な活動の物質的利益を凌駕し始めていることからも、Operation Cronosという最近の成功例は、ランサムウェアエコシステムから離脱するグループをさらに増やすきっかけになるかもしれません。2021年のAvaddon RaaSオペレーション解体は、このような費用対効果の計算によって促されたと言われています。
ランサムウェア関連の詐欺行為が広がりつつあるため、ランサムウェア攻撃の増加が報告されているにもかかわらず、ハッカーやアフィリエイト予備軍は「疑心暗鬼」のような状況に陥っています。Guidepoint Securityが指摘したように、マーケティング面においてこのような現状を逆手に取り、魅力的な金銭的インセンティブを提示しているのが、BeastランサムウェアやRAAS FLOCKERなどの新しいRaaSプレーヤーです。LockBitとBlackCatにまつわる出来事はハッカー界に恐怖を植え付けたと同時に、間違いなくRaaSエコシステムに「力の空白」を作り出しました。上記のような脅威アクターたちがそれを利用しようとしているのに加え、最近観測された活動を見てみると、その大部分は新興のランサムウェアによって実施されたものが占めるようになっています。
しかし、ほかの脅威アクターから信用を得るための要件が厳しくなっていることから、このようなランサムウェアアクターも自身の地位を確立することの難しさを感じるかもしれません。評判を確立できていない新興グループは、自身が無名であることを補うべく、主に物質的なインセンティブを利用しようとします。ただ、ランサムウェア詐欺という大きな懸念がある以上、この懸念自体を払拭するための直接的な対策をしっかりと行わない限り、多くの新興グループは長期的にアフィリエイトを定着させることができないでしょう。このような対策の1つとして、自組織においてある種の「プロフェッショナル化」を重点的に実施し、詐欺を企てるようなアクターとの差別化を図るランサムウェアアクターがいます。つまり、Contiがかつてそうであったように、こういったグループはごく一般的な企業と同様に機能することを目指し、専門チームを活用したり、中核となるランサムウェアの「製品」を改良したりするほか、段階的に利益を分配する体制づくりを推し進めているのです。例えばMedusaランサムウェアのマーケティングにおいては、管理専門チームやメディア広報チーム、交渉人がアフィリエイトにサポートを提供しており、アフィリエイトの定着をバックアップする高度な運営体制を整えています。この「プロフェッショナル化」には、これまで以上にグループ運営の成熟度が表れ出るようになってきました。そのため、新興グループが全体的に急増しているとしても、現況で最終的に利益を享受するのはすでに評価を確立しているグループだろうと思われます。
リブランド、亜種、頭脳流出で常に変化し続けるエコシステム
テイクダウンや出口詐欺が行われているにもかかわらず、ランサムウェアエコシステムはなお盛んに繁栄し、絶え間なく変化しています。この要因の1つとして、脅威アクターが法執行機関の取り組みを振り切るために、しぶとく「リブランド」の手法をとっていることが挙げられます。厳しい立場に追い込まれているグループもリブランドを活用することで、テイクダウンや出口詐欺の後で一から出直せる可能性が残ることも新たな傾向の1つです。2024年4月、セキュリティ研究者のDominic Alvieri氏は新たなランサムウェアブログ「DarkVault」を発見しました。このサイトにはデザインや配色、身代金支払い期限までのカウントダウンを表示する時計のほか、どういうわけかLockBitのロゴが使用されているなど、LockBitの古いデータリークサイトと重複する部分が複数あります。DarkVaultが示唆しているのは、LockBitのオペレーターがOperation Cronosに端を発する論争を振り払うために復活を企てている可能性がある、ということかもしれません。
反対に、脅威アクターが簡単にリブランドできることによって、なりすましや詐欺が行われる可能性が広がります。BlackCatとLockBitにまつわる出来事を経て、ほかの脅威アクターらは両グループが轟かせていた悪名を利用して標的に圧力をかけるために、あるいは高度な詐欺を円滑に進めるために、これらのグループを模倣しようとするかもしれません。また、特にLockBitの模倣に関して言うと、流出したLockBit Blackのビルダーを使えば、どのようななりすましを試みたとしても、あたかも本物が作った亜種であるかのように見せかけることは容易でしょう。実際、すでに複数のランサムウェア株でLockBit Blackのソースコードの使用が確認されています。こうしたグループは標的を恐喝する際にこのソースコードを使うことで、LockBitの評判によって生じる恩恵を享受できる可能性があるのです。該当するランサムウェア亜種には、BuhtiやWing、Bl00dy、DragonForceがあります。
ランサムウェアエコシステムの全体的な流動性と、長い間変わらない回復力を可能にしている別の要因には、グループ間で生き残り、うまく立ち回っている「有能な人材」の存在があります。RedSenseのYelisey Bohuslavskiy氏は、かつてContiと協力関係にあったペネトレーションテスターがOperation Cronosの後、LockBitからAkiraランサムウェアグループに移っていることを確認しました。またLockBit自身もこれに先立ち、BlackCatの活動停止とNoEscapeの閉鎖を受けて、それぞれのグループから有能な人材を引き抜いたとされています。これに関連して、RaaSのビジネスモデルがあるということは、いずれかのグループが活動を停止した後、アフィリエイトが被害者の情報を持ち出し、別のグループへ鞍替えすることが往々にあることを意味します。例えばTrellixは、WerewolvesランサムウェアグループがLockBitの元アフィリエイトで構成されている可能性が高いと評価しています。というのも、LockBitの標的としてリストアップされていた多くの組織が、移管されたのか再び狙われたのかどうかはさておき、Werewolvesのブログにも掲載されていたからです。このことから、一流の優れた人材はインフラが停止してもほとんどのケースで生き残り、回復する力を維持できるため、テイクダウンされてもランサムウェアがしぶとく活動を続けられる要因になっていることがわかります。
結論:ランサムウェアは何らかの方法で復活する
LockBitやBlackCatにまつわる最近の出来事の数々は、ネット上のエコシステムに明らかな心理的影響を与えました。そのため今後、脅威アクターたちはRaaS組織への信頼がまだ不足している状況に対処すべく、さまざまな方法を試す可能性があります。これらの出来事は、ほかの脅威アクターたちが自身の評判を確立する、あるいは詐欺の円滑な実行で短期的利益を得るなど、それぞれの思惑通りに事を進めるために悪用されるかもしれません。
詐欺行為や出口詐欺に対して根強く残る恐怖感は、とりわけBlackCatが出口詐欺を働くという劇的な展開を経て、ランサムウェアアクターの間で蔓延し続けると思われます。ネット上のハッカーフォーラムでは対策が強化され、懐疑心も高まっていますが、この流れは今後もエスカレートする可能性が高く、新興グループ参入への障壁は、すでに評判を確立しているグループと比べてさらに高くなるでしょう。
ランサムウェアエコシステムは総合的に回復力があるため、LockBitやBlackCatをめぐる出来事は大きな勝利ではあったものの、長期的な視野に立てばランサムウェアの全体的な横行状態を変えることはできないとみられます。アフィリエイトや経験豊富なハッカーはテイクダウンされても立ち直り続け、複数のグループを渡り歩いて活動を継続するでしょう。またランサムウェアグループは法執行機関の網をかいくぐり、出口詐欺を働いてでもグループを存続させるために、今後もリブランドの手法を利用し続けると思われます。とりわけ流出したLockBit Blackのビルダーによって、新しいグループはLockBitが轟かせた悪名に乗じて利益を得る独自のチャンスを与えられ、なりすましや恐喝の試みを円滑に行うことができるようになるでしょう。ランサムウェアアクターが将来的に対処することになる大きな問題は、いかにして強力な評判・名声を維持し、それを伸ばしていくのかということです。これは長期的な視点でランサムウェアアクターがどのように活動するのか、そして自身をどうプロモートしていくのかに重大な影響をもたらします。
最新のランサムウェア脅威ランドスケープについて、オープンソースインテリジェンスの観点からさらに深い見識を得るには、Silobreakerのレポート『Ransomware? What Ransomware? 』も併せてご覧ください。
寄稿者
Lucas Samuel、Silobreakerアナリスト
Silobreakerについて
Silobreakerは、日々ウェブに更新されていく大量の情報を読み解くことを求められる意思決定者やインテリジェンス専門家を支援する、強力なOSINTツールです。
インテリジェンスツール”Silobreaker”で見える世界
以下の記事で、インテリジェンスツール「Silobreaker」について紹介しています。
Writer
米国留学後、まず翻訳会社で進行管理・渉外を担当し、その後はパン職人など異業種を経てフリーランスの翻訳家に転身。ヨーロッパのサッカーを中心に、各種スポーツや現代美術、ゲームといった分野で長らく英日翻訳に携わる。2023年夏、サイバーセキュリティをめぐる昨今の状況に危機感を覚え、その実状を幅広い読者に伝えたいという思いでマキナレコードの翻訳チームへ。
大学卒業後、新卒で区役所に入庁し各種事務業務を担当。その後キャリアチェンジのため一般企業へ入社し、システムエンジニアの業務を経験。2023年2月よりマキナレコードの翻訳業務に携わる。