Cerberring

チェック・ポイントの研究者は先ごろ、Ransomware-as-a-Service(サービスとしてのランサムウェア)である「Cerber」の高度なインフラストラクチャとそのビジネス・モデル、金銭の流れを解明しました。詳細なレポートは、こちらからダウンロードいただけます。

ファイルを暗号化して「身代金」を要求するランサムウェアの被害は、個人・組織を問わず拡大する一方です。ランサムウェアはすでに世界的な問題となっており、FBIの調査によると、ランサムウェアによって攻撃者が得た収益は、2016年の第1四半期だけで2億900万ドル以上に上ります。しかし、この収益が全額、ランサムウェア開発者の手に渡るとは限りません。

一般的なランサムウェアでは、開発者自身が攻撃キャンペーンを展開し、感染を広げ、収益を得ています。しかし、最近増加しているRansomware-as-a-Service(RaaS)は、異なるビジネス・モデルの下で運営されています。RaaS型のランサムウェア開発者は、協力者(アフィリエイト)を募って自身の代わりにランサムウェアを拡散させ、その成果に対して収益の一部を分配するのです。このモデルでは、開発者自身が攻撃を実行するよりも広範囲に感染を拡大できるため、より多くの収益を見込むことができます。RaaSについてさらに重要なのは、技術的な専門知識がなくても、収益性の高いランサムウェア攻撃に参加し、独立したキャンペーンを展開できるようになったという点です。ランサムウェア開発者から、指令(C&C)サーバや使いやすいコントロール・パネルが提供されるため、攻撃実行者が自らインフラストラクチャを用意する必要がありません。

このRaaS業界の実態は、これまで謎に包まれていました。RaaSというフランチャイズ・モデルがどのように運用されているか、ほとんど分かっていなかったため、活動の追跡が困難だったのです。チェック・ポイントとIntSightsが今回実施した調査では、主要なランサムウェアの1つであるCerberに焦点を当てています。レポート『CerberRing: An In-Depth Exposé on Cerber Ransomware-as-a-Service』では、Cerberキャンペーンの技術的な特徴に加え、そのビジネス・モデルを詳細に解説しています。

広範囲に感染を広げているCerberですが、その1つの理由は、最新のエクスプロイト・キットを巧みに活用している点にあります。チェック・ポイントとIntSightsは、Cerberによる実際のC&C通信を監視して、活動の全容を把握することに成功しました。Cerber関連の攻撃キャンペーンは現在、161件展開されており、1日あたり平均8件のキャンペーンが新たに開始されています。また感染被害は、2016年7月だけでも、201の国および地域で約15万件確認されています。

エクスプロイト・キットの感染分布

 

Cerberに関して特に興味深いのは金銭の流れです。Cerberは、追跡を免れるために仮想通貨のBitcoinを使用しています。身代金の受け取りには、感染被害者ごとに個別のウォレットを用意しており、身代金(通常は1 Bitcoin = 現在のレートで約590ドル)が支払われた場合に限り、被害者に復号鍵を提供します。身代金は、数万個のウォレットを経由するミキシング・サービス(Bitcoinの匿名性を高めるためのサービス)を介してCerber開発者の元に送られるため、ウォレットを辿って開発者を特定することはほぼ不可能です。最終的に身代金が開発者の元に届いた後、アフィリエイトに成功報酬が支払われます。

チェック・ポイントとIntSightsは、C&C通信の内容から実際の感染被害者のウォレットを特定し、これらのウォレットを使用した身代金の支払いおよび取引プロセスを詳細に観察しました。これにより、Cerberが得た実際の収益の額と取引経路を把握することに成功しています。

Cerberキャンペーンによる収益は、2016年7月だけで19万5,000ドルに上ります。そのうち、開発者の取り分は約7万8,000ドル。残りは、各キャンペーンでの感染件数や身代金支払額に応じてアフィリエイトに分配されます。1年あたりに換算すると、開発者の取り分は93万6,000ドルです。直接経費がほとんど発生しないことを考えれば、十分すぎるほどの成果といえるでしょう。

Cerberランサムウェアのさらなる詳細については、www.checkpoint.co.jp/resources/cerberring/をご覧ください。

次のチェック・ポイント製品を使用すると、Cerberによる攻撃を検出、防御できます。

  • SandBlast: 脅威エミュレーション技術により、Cerberの既知と未知の亜種を検出、ブロックします。詳細については、SandBlast Zero-Day Protectionをご覧ください。
  • IPS/Antivirus Software Blade: Cerberの既知の亜種をブロックします。詳細については、IPS Software Bladeをご覧ください。
  • Anti-Bot Software Blade: CerberによるC&C通信を検出、遮断します。詳細については、Anti-Bot Software Bladeをご覧ください。