Ransomware as a Service
RaaSとはランサムウェア攻撃を行うためのツールや情報を販売するサービスである。RaaSを利⽤することで、技術⼒がなくてもランサムウェアを使⽤したサイバー攻撃を仕掛けることが可能となっており、RaaSの存在はランサムウェア被害の増加を懸念する1つの大きな要因であると考えられる。開発と実際の攻撃が分離されることで、それぞれの得意とする分野に資源を集中でき、効率化が図られている。
- RaaS提供者は開発したランサムウェア作成ツールを闇市場で販売する。不正プログラムのほか、⾝代⾦収集の代⾏や攻撃⼿⼝の指南をサービスに含む場合もある。
- RaaS利⽤者は定額料⾦を⽀払いランサムウェアツールを購⼊する。
- 購⼊したランサムウェアツールに⾝代⾦の要求額等の設定を⾏い、標的とする組織や企業に対しランサムウェア攻撃を⾏い⾝代⾦を要求する。
- 攻撃に成功した場合は、⼊⼿した⾝代⾦をRaaS提供者と分ける。
ツールは、攻撃対象となるプラットフォームの選択(Windows、Linux)、暗号化方式などを指定しマルウェアを自動生成するツール、身代金の支払いを促すための被害者とのコミュニケーションツール、被害者の情報を公開するためのブログサイト、身代金を回収するためのプロセス、多重脅迫のためのDDoS攻撃ツールなどが含まれている。
ランサムウェアの特徴
- ランサムウェアは都度、生成されることから、攻撃時点でアンチウイルスのパターンファイルには登録されていない。
- Google Virustotal の調査では、ランサムウェアの95%は脆弱性を悪用せず、メールや Web から悪意あるプログラムを感染させる方式をとっている。
- ランサムウェア作成時に、被害者のPCのローカル管理者の資格情報を入力し、ランサムウェアが管理者の特権で侵入することができるタイプのツールが存在する。事前に資格情報が入手されている場合、特権昇格した状態でランサムウェアが動作するため極めて危険な状態になる。
- 他のマルウェア同様に、自分自身を起動する持続化メカニズムを持っており、長期間、潜在し暴露攻撃の対象となるデータを検索する。
- アンチウイルスやEDRの検出を逃れるため、これらのプロセスを停止する機能を有している。
DARKSIDE RaaSに感染した際のメッセージ(機械翻訳)
----------- [ Welcome to Dark ] ------------->
何が起こったのか?
----------------------------------------------
お客様のパソコンやサーバーは暗号化され、バックアップは消去されます。強力な暗号化アルゴリズムを使用しているため、お客様はデータを解読することができません。しかし、私たちから特別なプログラムである universal decryptor を購入すれば、すべてを復元することができます。このプログラムは、あなたのネットワークをすべて復元します。以下の説明に従って、すべてのデータを復元してください。
データ漏洩
----------------------------------------------
まず、100GB以上のデータをアップロードしました。
データの例
- 会計データ
- 役員データ
- 営業データ
- カスタマーサポートデータ
- マーケティングデータ
- 品質データ
- 他にもいろいろあります。
あなただけのリークページ: http://darksidedxcftmqa[.]onion/blog/article/id/6/<REDACTED>
データはあらかじめ用意されており、お支払いがない場合は自動的に公開されます。
公開後、あなたのデータは少なくとも6ヶ月間、当社のtor cdnサーバーで利用可能です。
私たちは準備ができています。
- 盗まれたデータの証拠を提供する
- すべての暗号化されたファイルのための普遍的な復号化ツールを提供します。
- 盗まれたデータをすべて削除します。
保証は?
----------------------------------------------
私たちは評判を大切にしています。もし私たちが仕事をせず、責任を負わなければ、誰も私たちにお金を払ってくれません。これは私たちの利益にはなりません。私たちの復号化ソフトウェアはすべて完璧にテストされており、データを復号化します。また、問題が発生した場合にはサポートを提供します。1つのファイルを無料で復号化することを保証します。サイトにアクセスして、私たちに連絡してください。
ウェブサイトにアクセスするには?
----------------------------------------------
TORブラウザを使う。
1) このサイトからTORブラウザをダウンロードしてインストールしてください: https://torproject.org/
2) 本サイトを開く: http://darksidfqzcuhtk2[.]onion/<REDACTED>
開いたウェブサイトの入力フォームに以下のデータを入力してください。キーを入力してください。<REDACTED> (キー)
!!! DANGER !!!
自分でファイルを変更したり、復元しようとしたりしないでください。我々はそれらを復元することはできません。
!!! 危険です。