ランサムウェア・アズ・ア・サービス(RaaS)

近年、ランサムウェアの被害が拡大しており、コンピュータを感染させ、データを取り戻すためにユーザーに罰金を支払うことを強要しています。二重の恐喝などの新しいランサムウェアの手口が成功するにつれ、犯罪者はより大きな身代金の支払いを要求するようになりました。身代金要求額の平均は 530万ドルは、2021年上半期に 2020年同期比518%増増加しました。2020年以降、身代金の平均価格は上昇し 82%も上昇しています。に達しています。2021年前半には57万ドルを単独で達成しました。

RaaS(ランサムウェア・アズ・ア・サービス)は、数回のクリックで誰もがあらゆるコンピュータやモバイルデバイスにランサムウェア攻撃を仕掛けることを可能にし、この攻撃をさらに危険なものにしています。インターネットに接続できる環境さえあれば、他のコンピュータ、それも上司や雇用主が使っているコンピュータを制御することも可能なのだ!しかし、RaaSとは一体何を意味するのでしょうか? 

Ransomware-as-a-Service (RaaS)とは何ですか?

Ransomware-as-a-Service (RaaS)は、サイバー犯罪のエコシステムにおいて人気のあるビジネスモデルとなっています。Ransomware-as-a-Serviceは、サイバー犯罪者がコーディングやハッキングの知識を必要とせずに、ランサムウェア攻撃を簡単に展開できるようにするものです。

RaaSプラットフォームは、犯罪者が専門知識をほとんど必要とせず、簡単に攻撃を開始できるよう、さまざまな機能を提供しています。RaaSプロバイダは、顧客(攻撃者)が自分のニーズに合わせてカスタマイズできるマルウェアコードを提供します。カスタマイズ後、攻撃者はプラットフォームのコマンド&コントロール(C&C)サーバを介して、即座にそれを展開することができます。多くの場合、C&Cサーバは必要なく、攻撃用ファイルをDropboxやGoogle Driveなどのクラウドサービスに保存することができます。

また、RaaS事業者は、決済処理に関する技術支援や攻撃後の復号化支援などのサポートサービスも提供しています。

ランサムウェア・アズ・ア・サービスをわかりやすく説明します。

もしあなたがSofware-as-a-Serviceについて聞いたことがあり、その仕組みを知っているならば、同じようなレベルで動作するRaaSを理解するのは簡単なことでしょう。PowerDMARCもまたSaaSプラットフォームであり、グローバル企業の問題解決者としての役割を担い、手作業や人手をかけずにドメインの認証ができるよう支援します。 

 

これはまさにRaaSのことです。インターネット上の技術的に優れた悪意のある脅威の行為者は、違法なビジネス(通常はダークウェブ上でサービスを販売)の形で活動する複合体を形成し、インターネット上の誰もがあらゆるシステムにランサムウェアを感染させるのに役立つ悪質なコードと添付ファイルを販売します。彼らは、より困難で技術的な部分の作業を自分で行うことを望まず、代わりに支援してくれる第三者を探している攻撃者にこれらのコードを販売します。攻撃者が購入すると、あらゆるシステムに感染させることができるようになります。 

Ransomware-as-a-Service の仕組みとは?

このような収益モデルは、最近、サイバー犯罪者の間で大きな人気を集めています。ハッカーは、ネットワークやシステムにランサムウェアを導入し、データを暗号化してファイルへのアクセスをロックし、復号化キーの身代金の支払いを要求します。身代金の支払いは、通常、ビットコインやその他の暗号化通貨で行われます。多くのランサムウェアは、無料でデータを暗号化できるため、開発・展開の費用対効果が高い。攻撃者は、被害者が支払いを行った場合にのみ課金し、それ以外の場合は、そこからお金を得ることはありません。 

RaaSの4つの収益モデル。

ボットネットやその他の自由に利用できるツールを使って、ランサムウェアをゼロから構築することも可能かもしれませんが、サイバー犯罪者には、より簡単な選択肢があります。犯罪者は、ゼロからツールを構築して逮捕されるリスクを冒す代わりに、4つの基本的なRaaS収益モデルのいずれかに加入することができます。 

  • アフィリエイトプログラム
  • 月極め契約
  • バルク販売
  • ハイブリッド定額制バルク販売

最も一般的なのは、修正されたアフィリエイト・プログラムです。これは、アフィリエイトが、しばしば地下フォーラムでマルウェア・サービスを販売するプロのサイバー犯罪者よりもオーバーヘッドが少ないからです。アフィリエイトは、数百万人の被害者に送られるスパムメールに含まれるリンクを使って、危険なウェブサイトを宣伝することでお金を稼ぐために登録することができます。その後、被害者から身代金を受け取ったときだけ支払えばよいのです。

なぜRaaSは危険なのか?

RaaSは、サイバー犯罪者が限られた技術力を活用して、攻撃から利益を得ることを可能にする。サイバー犯罪者が被害者を見つけるのが困難な場合、被害者を企業(または複数の企業)に売却することができます。

サイバー犯罪者がネット上の標的を攻撃することは困難であると考えた場合、脆弱な標的を悪用するための組織を売り込むことができるようになったのです。基本的には、サードパーティサービスプロバイダーを通じてアウトソーシングすることで、高度な手法を用いずとも、誰でも、どのデバイスからでもランサムウェア攻撃を行うことができ、すべてのプロセスを簡単に、そして身近に行うことができるようになります。

Ransomware-as-a-Service Exploitを防ぐには?

ランサムウェア・アズ・ア・サービス攻撃では、ハッカーはツールを他の犯罪者に貸し出し、犯罪者は被害者のコンピュータにランサムウェアを感染させるためのコードへのアクセス料を支払う。このようなツールを使用する販売者は、その顧客が感染した被害者から収益を上げると、報酬を得ることができます。

以下のステップを踏むことで、ランサムウェア・アズ・ア・サービスの攻撃を防ぐことができます。

1.攻撃方法を知る

ランサムウェアが組織に感染する方法はいくつかあります。どのように攻撃が行われるかを知ることは、攻撃から身を守るための最善の方法です。どのように攻撃されるかを知ることで、ウイルス対策ソフトウェアをインストールして指をくわえて見ているのではなく、どのようなセキュリティシステムと保護が必要なのかに焦点を当てることができます。 

フィッシングメールは、多くのサイバー攻撃において共通の経路となっています。そのため、従業員は、不明な送信者からの埋め込みリンクをクリックしたり、添付ファイルを開いたりしないように注意する必要があります。電子メールの添付ファイルに関する企業ポリシーを定期的に見直すことは、フィッシング詐欺やマクロウイルス、トロイの木馬などのマルウェア配信手段による感染を防ぐのに役立ちます。

2.信頼性の高いシステムセキュリティスイートを使用する

パソコンには常に最新のセキュリティソフトがインストールされていることを確認する。ウイルス対策ソフトをインストールしていない場合は、すぐにインストールすることを検討してください。ウイルス対策ソフトは、悪意のあるファイルが標的のマシンに到達する前に検出し、被害を未然に防ぐことができます。

3.定期的にすべてをバックアップする

すべての情報をバックアップしておけば、システムがマルウェアやランサムウェアに感染した場合でも、重要な情報の喪失を防ぐことができます。しかし、ウイルスやマルウェアの攻撃を受けた場合、すべてのファイルが定期的にバックアップされない可能性もあるので、万が一に備えて、異なる場所に複数のバックアップをとっておきましょう。

4.メール認証によるフィッシング対策の選択

フィッシングメールは、ランサムウェアの悪用において、非常に一般的で強力な攻撃経路です。ハッカーは、多くの場合、電子メールを使用して、被害者が悪意のあるリンクや添付ファイルをクリックするように仕向け、その結果、被害者のコンピュータがランサムウェアに感染するように仕向けることがあります。 

理想的には、こうしたフィッシング詐欺を避けるために、常に市場で最新のセキュリティ対策に取り組み、信頼できるソースからしかソフトウェアをダウンロードしないことです。しかし、複数の従業員を抱える組織の一員である以上、従業員一人ひとりにそれを期待するのは愚かなことです。また、従業員の行動を常に把握することは困難であり、時間もかかります。このため DMARCポリシーを導入することは、フィッシング攻撃からメールを保護するための有効な手段です。

RaaSの感染ライフサイクルの中で、DMARCがどのような位置づけにあるのかを確認しておこう。 

  • 攻撃者はRaaS事業者からランサムウェアを含む不正な添付ファイルを購入する 
  • 攻撃者は、XYZ社になりすまし、購入した製品を添付したフィッシングメールを無防備な被害者に送信します。 
  • なりすましドメイン(XYZ inc.)はDMARCを有効にしており、送信者の実在性を確認することで認証プロセスを開始します。 
  • 検証に失敗した場合、被害者のサーバーはメールを悪意あるものとみなし、ドメイン所有者が設定したDMARCポリシーに従って、メールを拒否します

続きを読む ランサムウェアに対する防御の第一線としてのDMARCについてをご覧ください。

  • DNSフィルタリング

ランサムウェアは、コマンド&コントロール(C2)サーバを使用して、RaaSオペレータのプラットフォームと通信します。DNSクエリは、多くの場合、感染したシステムからC2サーバーに通信されます。組織は、DNSフィルタリングセキュリティソリューションを使用して、ランサムウェアがRaaSのC2と通信しようとしたときに検出し、送信をブロックすることができます。これは、感染予防のメカニズムとして機能することができます。 

結論

Ransomware-as-a-Service (RaaS)は、デジタルユーザーを食い物にする最も新しい脅威の一つですが、この脅威に対抗するためには、一定の予防策を採用することが重要です。この攻撃から身を守るには、強力なマルウェア対策ツールや、以下のような電子メールセキュリティプロトコルを組み合わせて使用することができます。 DMARCやSPF、DKIMなどの電子メールセキュリティプロトコルを使用して、すべてのコンセントを適切に保護することができます。