ランサムウェアのインシデントは、過去数年間で劇的に増加しています。 FBIのインターネット犯罪苦情センターへのランサムウェア攻撃に関する苦情 62％ サイバーセキュリティおよびインフラストラクチャセキュリティエージェンシーによると、2021年の同様の時間枠と比較して2020年の前半に。 この増大する脅威を鈍らせるために、セキュリティの専門家は、ランサムウェアの脅威の背後にある攻撃者、それらがどのように動作し、どのように標的となる新しい犠牲者を継続的に見つけるかを理解する必要があります。

注目を集めるランサムウェアキャンペーンの詳細な分析 ような 悪魔 Thanosは、ランサムウェアオペレーターとアフィリエイトの間の組織化されたパートナーシップが、それぞれの強みを発揮して、サイバー犯罪を大規模かつ最大の支払いで実行するのに役立つことを示しています。

オペレーターとアフィリエイトのコラボレーション

ランサムウェアキャンペーンを大規模に実行する場合、オペレーターとアフィリエイト（「イネーブラー」と呼ばれることもあります）は、最大の被害に必要な作業を分割して分散します。

オペレーターは、パッケージがインストールされたときに、ランサムウェアパッケージをカスタマイズ、ダウンロード、追跡できることを確認します。 ランサムウェアのオペレーターも恐喝の執行者の仕事を引き受け、支払いのためのシステムが完全に機能していることを確認します。 クラウドストライクの調査 は、最初の身代金を支払った人の96％が恐喝料も支払わなければならなかったことを示しています。

アフィリエイトは、標的とする被害者を見つけ、被害者に悪意のあるパッケージをダウンロードするように説得するソーシャルエンジニアリング戦術を採用することに長けています。 標的とされた犠牲者の数によって測定される攻撃の規模は、通常、アフィリエイトの肩にかかっています。

アフィリエイトは、最も広範囲に到達するために、配布サービスを使用します。これは、初期アクセスを取得し、被害者を危険にさらして標的にし、攻撃の標的となる重要な資産とデータに到達するために横方向に移動するために展開される特定のテクノロジーセットです。 分散サービスは、アクセスブローカーから取得した盗まれた資格情報から、特定のソフトウェアやシステムを対象としたソーシャルエンジニアリングキャンペーンやエクスプロイトキットまで、さまざまな形態をとることができます。

複数のアフィリエイトが協力して大混乱を引き起こし、身代金を押し上げて最大の支払いを引き出すことがあります。 アフィリエイトとオペレーターも最終的な支払いを共有するため、仕事の各自の部分を効果的に完了することは、各当事者の既得権益になります。

完璧な嵐

分散サービスを使用するランサムウェアオペレーターとアフィリエイトの間のこのよく油を塗ったビジネスモデルは、両方のタイプの悪意のある攻撃者の参入障壁を下げるため、最悪の状況です。 たとえば、アフィリエイトは悪意のあるプログラムをコーディングする方法を知る必要はありません。 彼らは犠牲者を選び、彼らを噛ませることに集中する必要があるだけです。 各脅威アクターは、よく振り付けられたパートナーシップで個々の強みを発揮します。

オペレーターとアフィリエイトはランサムウェアキャンペーンの一部にしか責任を負わないため、特定の脅威アクターに犯罪を突き止めることはより困難になります。 ランサムウェアのオペレーターとアフィリエイトの両方が、暗いエコシステムでお互いを保護します。

このスタイルのランサムウェアキャンペーンは、各アクターのセットが作業を実行する高度な機能により、何ヶ月にもわたって侵害が検出されなくなる可能性があるため、特に問題があります。 たとえば、配布ツールには、アンチフォレンジック機能が組み込まれている場合もあります。 オペレーターとアフィリエイトの関係の性質も進化し続けており、悪意のある攻撃者を追跡するのがはるかに困難になっています。

防御側が完璧な嵐を回避する方法

セキュリティチームは、最初に脅威インテリジェンスを利用して攻撃者とダークウェブを理解することで、避難所を探すことができます。 eCrimeフードチェーンのトップにいるのは誰かを追跡することは、防御とインテリジェントなセキュリティ戦略の作成に不可欠です。

当然のことながら、事業者や関連会社に関する情報だけでは不十分です。 また、彼らが使用している配布サービスと、特定のランサムウェアキャンペーンが休止しているかアクティブであるかを理解する必要があります。

ダークウェブをスキャンして、データを販売している可能性のある悪意のあるアクセスブローカーを探すことも、敵対的な対応を強化するのに役立ちます。 セキュリティチームが即座にインテリジェンスを取得し、潜在的な脅威を測定できるように、地理的な地域または業界の業種に言及する犯罪投稿のアラートを購読します。

最後に、セキュリティチームは、ランサムウェアオペレーターによって残された悪意のあるファイルに対して事後分析を行う必要があります。 配布サービスとオペレーターは攻撃ツールを頻繁に再利用するため、マルウェアの動作を理解することは適切な防御策を作成するのに役立ちます。

セキュリティチームにとってのポイントは、ランサムウェアキャンペーンが行ったり来たりする可能性があることですが、捕まえられない場合、その背後にいる人間の攻撃者が消えることはありません。 彼らは通常、自分自身を再発明し、エコシステム内の洗練されたオペレーターとツールを使用して新しい攻撃モードを計画します。

ランサムウェアのオペレーターとアフィリエイトの間の有益なパートナーシップは、セキュリティチームを真剣にテストする巧妙な敵になります。 分散サービスを使用して選択した武器を提供すると、すでに危険な状況にさらに複雑さが加わります。 セキュリティの専門家は、複数の脅威インテリジェンスサービスを利用して、複雑なダークウェブを発掘し、これらのオペレーターとアフィリエイトのパートナーシップを特定し、悪意のある脅威アクターを阻止することができます。

• コインスマート。 ヨーロッパで最高のビットコインと暗号通貨取引所。
• Platoblockchain。 Web3メタバースインテリジェンス。 知識の増幅。 出入り自由。
• CryptoHawk。 アルトコインレーダー。 無料トライアル。
• ソース：https：//www.darkreading.com/crowdstrike/tales-from-the-dark-web-part-2-ransomware-stacked-with-distribution-services-creates-the-perfect-storm