ランサムウェア・アズ・ア・サービス(RaaS)とは、ランサムウェアのグループやギャングが、その ランサムウェアの コードを他のハッカーに販売し、そのハッカーがそれを使って独自のランサムウェア攻撃を行うというサイバー犯罪のビジネスモデルです。
IBMの X-Force Threat Intelligence Indexによると、ランサムウェアは2022年に2番目に多く見られたサイバー攻撃のタイプでした。 多くの専門家は、RaaS の台頭がランサムウェアの蔓延に一役買っていると考えています。Zscalerによる2022年のレポート(リンクはibm.com外にあります)。 最もアクティブなランサムウェア亜種 11 種類のうち 8 種類が RaaS 亜種であることがわかりました。
RaaS モデルがサイバー犯罪者に人気がある理由は簡単に理解できます。RaaSはサイバー犯罪への参入のハードルを下げ、技術的スキルの低い脅威行為者でも サイバー攻撃を実行できるようにします。 さらに、RaaSは相互にメリットがある。ハッカーは独自の マルウェアを開発することなく恐喝で利益を得ることができ、ランサムウェア開発者は手動でネットワークを攻撃することなく利益を増やすことができます。
RaaSは、正規の SaaS(Software-as-a-Service )ビジネスモデルと同じように機能します。ランサムウェア開発者は、RaaS オペレーターとも呼ばれ、ランサムウェア ツールとインフラストラクチャの開発と保守の作業を引き受けます。彼らはツールとサービスを RaaS キットにパッケージ化し、RaaS アフィリエイトと呼ばれる他のハッカーに販売します。
ほとんどの通信事業者は、キットを販売するために次の収益モデルのいずれかを使用しています。
RaaS キットはダークウェブ フォーラムで宣伝されており、一部のランサムウェア オペレーターは新しいアフィリエイトを積極的に募集しています。例えば、REVILグループは 2020年10月に大規模な採用活動の一環として100万米ドルを費やしました(リンクはibm.com外に存在)。
キットを購入すると、アフィリエイトはマルウェアと復号キーだけでなく、合法的な SaaS ベンダーと同等のレベルのサービスとサポートを受けることができます。最も洗練されたRaaS事業者の中には、継続的な技術サポート、ハッカーがヒントや情報を交換できるプライベートフォーラムへのアクセス、支払処理ポータル(身代金の支払いはビットコインのような追跡不可能な暗号通貨で要求されることが多いため)、さらにはカスタム身代金メモの作成や身代金要求の交渉のためのツールやサポートなどのアメニティを提供している場合もあります。
利益の可能性がRaaS普及の主な要因である一方で、アフィリエイト・プログラムはハッカーやランサムウェア開発者にもさらなる利益を提供し、 サイバーセキュリティの 専門家にとっては新たな課題となっています。
ランサムウェア事件のあいまいな帰属RaaS モデルでは、サイバー攻撃を実行する人物は、使用されているマルウェアを開発した人物と同じではない可能性があります。さらに、異なるハッキング グループが同じランサムウェアを使用している可能性があります。サイバーセキュリティの専門家は、特定のグループによる攻撃を明確に特定できない可能性があるため、RaaS オペレーターや関連会社のプロファイリングと捕捉が困難になります。
サイバー犯罪者の専門化合法的な経済と同じように、サイバー犯罪経済も分業化をもたらした。 脅威アクターは、自分たちの技術を専門化し、洗練させることができるようになりました。開発者はより強力なマルウェアの作成に集中でき、関連会社はより効果的な攻撃方法の開発に集中できます。「アクセス ブローカー」と呼ばれる 3 番目のクラスのサイバー犯罪者は、ネットワークに侵入し、攻撃者にアクセス ポイントを販売することを専門としています。専門化により、ハッカーはより速く行動し、より多くの攻撃を実行できるようになります。X-Force Threat Intelligence Indexによると、ランサムウェア攻撃を実行するまでの平均時間は、2019年の60日以上から2022年には3.85日にまで減少しました。
より回復力の高いランサムウェアの脅威RaaS を使用すると、通信事業者と関連会社がリスクを共有できるようになり、それぞれの回復力が高まります。アフィリエイトを捕まえてもオペレーターは閉鎖されず、オペレーターが逮捕された場合、アフィリエイターは別のランサムウェア キットに切り替えることができます。ハッカーは当局の目を逃れるために活動を再編成し、ブランドを変更することも知られています。たとえば、米国外国資産管理局 (OFAC) が Evil Corp ランサムウェア集団を制裁した後、被害者は OFAC からの罰金を回避するために身代金の支払いを停止しました。これに対し、Evil Corpはランサムウェアの名前を 何度も変更し(リンクはibm.com外に存在)、支払いを続けています。
どのギャングがどのランサムウェアに関与しているのか、または特定の時点でどのオペレーターが正式に活動しているのかを特定するのは難しい場合があります。そうは言っても、サイバーセキュリティの専門家は、長年にわたって次のようないくつかの主要な RaaS オペレーターを特定してきました。
RaaS は脅威の状況を変えましたが、ランサムウェア保護の標準的な手法の多くは、依然として RaaS 攻撃と戦うのに効果的です。RaaS アフィリエイトの多くは、昨日のランサムウェア攻撃者ほど技術的に熟達していません。ハッカーとネットワーク資産の間に十分な障害物を置けば、一部の RaaS 攻撃を完全に阻止できる可能性があります。追加のサイバーセキュリティ戦術には次のものが含まれる場合があります。
他の人が単に見逃している高度な脅威をキャッチします。 QRadar SIEM は、分析と AI を活用して、脅威インテリジェンス、ネットワーク、およびユーザーの行動の異常を監視し、即時対応と修復が必要な箇所に優先順位を付けます。
この洗練された使いやすいエンドポイント検出および対応 (EDR) ソリューションを使用して、サイバー攻撃からエンドポイントを保護し、異常な動作を検出し、ほぼリアルタイムで修復します。
ゼロトラスト アプローチにより、ランサムウェアによるビジネス継続の中断を阻止し、攻撃が発生した場合には迅速に復旧します。これにより、ランサムウェアをより迅速に検出して対応し、ランサムウェア攻撃の影響を最小限に抑えることができます。
脅威アクターがどのように攻撃を仕掛けているか、そして組織をプロアクティブに保護する方法を理解するのに役立つ実用的な洞察を見つけてください。
ランサムウェア攻撃が防御を突破する前にビジネスを保護し、敵が境界を突破した場合に最適な回復を達成するための重要な手順を学びます。
17 年目を迎えるこのレポートでは、拡大する脅威の状況に関する最新の洞察を共有し、時間を節約し損失を制限するための推奨事項を提供します。
IBM の上級セキュリティー・アーキテクトおよびコンサルタントと協力して、無料の仮想または対面の 3 時間の設計思考セッションでサイバーセキュリティーへの取り組みに優先順位を付けます。
ロサンゼルスは、IBM Security と提携して、サイバー犯罪から保護するための、この種では初のサイバー脅威共有グループを設立しました。
セキュリティ情報およびイベント管理 (SIEM) は、コンプライアンスまたは監査を目的として、イベントのリアルタイムの監視と分析、およびセキュリティ データの追跡とログを提供します。