RaaSは、正規の SaaS（Software-as-a-Service ）ビジネスモデルと同じように機能します。ランサムウェア開発者は、RaaS オペレーターとも呼ばれ、ランサムウェア ツールとインフラストラクチャの開発と保守の作業を引き受けます。彼らはツールとサービスを RaaS キットにパッケージ化し、RaaS アフィリエイトと呼ばれる他のハッカーに販売します。

ほとんどの通信事業者は、キットを販売するために次の収益モデルのいずれかを使用しています。

• 月額サブスクリプション: RaaS アフィリエイトは、ランサムウェア ツールへのアクセスに対して定期料金 (場合によっては月額 40 米ドル程度) を支払います。
  
  
• 1 回限りの料金: アフィリエイトは、ランサムウェア コードを完全に購入するために 1 回限りの料金を支払います。
  
  
• アフィリエイト モデル: アフィリエイトは月額料金を支払い、受け取った身代金の一部をオペレーターと共有します。
  
  
• 利益分配: オペレーターは前払いは一切しませんが、アフィリエイトが受け取る身代金のかなりの部分 (多くの場合 30 ～ 40%) を受け取ります。

RaaS キットはダークウェブ フォーラムで宣伝されており、一部のランサムウェア オペレーターは新しいアフィリエイトを積極的に募集しています。例えば、REVILグループは 2020年10月に大規模な採用活動の一環として100万米ドルを費やしました（リンクはibm.com外に存在）。

キットを購入すると、アフィリエイトはマルウェアと復号キーだけでなく、合法的な SaaS ベンダーと同等のレベルのサービスとサポートを受けることができます。最も洗練されたRaaS事業者の中には、継続的な技術サポート、ハッカーがヒントや情報を交換できるプライベートフォーラムへのアクセス、支払処理ポータル（身代金の支払いはビットコインのような追跡不可能な暗号通貨で要求されることが多いため）、さらにはカスタム身代金メモの作成や身代金要求の交渉のためのツールやサポートなどのアメニティを提供している場合もあります。

利益の可能性がRaaS普及の主な要因である一方で、アフィリエイト・プログラムはハッカーやランサムウェア開発者にもさらなる利益を提供し、 サイバーセキュリティの 専門家にとっては新たな課題となっています。

ランサムウェア事件のあいまいな帰属RaaS モデルでは、サイバー攻撃を実行する人物は、使用されているマルウェアを開発した人物と同じではない可能性があります。さらに、異なるハッキング グループが同じランサムウェアを使用している可能性があります。サイバーセキュリティの専門家は、特定のグループによる攻撃を明確に特定できない可能性があるため、RaaS オペレーターや関連会社のプロファイリングと捕捉が困難になります。

サイバー犯罪者の専門化合法的な経済と同じように、サイバー犯罪経済も分業化をもたらした。 脅威アクターは、自分たちの技術を専門化し、洗練させることができるようになりました。開発者はより強力なマルウェアの作成に集中でき、関連会社はより効果的な攻撃方法の開発に集中できます。「アクセス ブローカー」と呼ばれる 3 番目のクラスのサイバー犯罪者は、ネットワークに侵入し、攻撃者にアクセス ポイントを販売することを専門としています。専門化により、ハッカーはより速く行動し、より多くの攻撃を実行できるようになります。X-Force Threat Intelligence Indexによると、ランサムウェア攻撃を実行するまでの平均時間は、2019年の60日以上から2022年には3.85日にまで減少しました。

より回復力の高いランサムウェアの脅威RaaS を使用すると、通信事業者と関連会社がリスクを共有できるようになり、それぞれの回復力が高まります。アフィリエイトを捕まえてもオペレーターは閉鎖されず、オペレーターが逮捕された場合、アフィリエイターは別のランサムウェア キットに切り替えることができます。ハッカーは当局の目を逃れるために活動を再編成し、ブランドを変更することも知られています。たとえば、米国外国資産管理局 (OFAC) が Evil Corp ランサムウェア集団を制裁した後、被害者は OFAC からの罰金を回避するために身代金の支払いを停止しました。これに対し、Evil Corpはランサムウェアの名前を 何度も変更し（リンクはibm.com外に存在）、支払いを続けています。

どのギャングがどのランサムウェアに関与しているのか、または特定の時点でどのオペレーターが正式に活動しているのかを特定するのは難しい場合があります。そうは言っても、サイバーセキュリティの専門家は、長年にわたって次のようないくつかの主要な RaaS オペレーターを特定してきました。

• Tox: 2015 年に初めて特定された Tox は、多くの人によって最初の RaaS であると考えられています。

• LockBit: LockBit は現在最も蔓延している RaaS 亜種の 1 つであり、 2022 年に観察されたランサムウェア インシデントの 17%を占め、他のどの亜種よりも多くなっています。LockBitは多くの場合、 フィッシングメールを通じて 拡散します。特に、LockBit の背後にいるギャングは、ターゲットの被害者のために働く関連会社を募集し、侵入を容易にしようとしています。

• DarkSide: DarkSide のランサムウェア亜種は、米国の重要なインフラに対するこれまでで最悪のサイバー攻撃と考えられている、米国植民地パイプラインに対する 2021 年の攻撃で使用されました。DarkSide は 2021 年に閉鎖されましたが、開発者は BlackMatter と呼ばれる後継の RaaS キットをリリースしました。

• REvil/Sodinokibi: Sodin または Sodinokibi としても知られる REvil は、JBS USA と Kaseya Limited に対する 2021 年の攻撃の背後でランサムウェアを作成しました。最盛期には、REvilは最も広まったランサムウェアの亜種の1つであり、 2021年にはランサムウェア攻撃の37％を占めます。 ロシア連邦保安局は2022年初頭にREVILを閉鎖し、主要メンバー数名を起訴したが、 2022年4月にギャングのRaaSインフラが再び復活しました（リンク先はibm.com外）。

• Ryuk: 2021 年に閉鎖されるまで、Ryuk は最大規模の RaaS 事業の 1 つでした。Ryukの開発者たちは、 2022年にコスタリカ政府に対する攻撃で使用されたContiという別の主要なRaaSの亜種をリリースしました（リンクはibm.comの外にある）。

• Hive: Hive は 2022 年に Microsoft Exchange Server に対する攻撃を受けて有名になりました。ハイブの関連会社は、 FBIが2023年に運営者を逮捕するまで、金融会社や医療機関にとって大きな脅威でした（リンクはibm.comの外にあります）。

RaaS は脅威の状況を変えましたが、ランサムウェア保護の標準的な手法の多くは、依然として RaaS 攻撃と戦うのに効果的です。RaaS アフィリエイトの多くは、昨日のランサムウェア攻撃者ほど技術的に熟達していません。ハッカーとネットワーク資産の間に十分な障害物を置けば、一部の RaaS 攻撃を完全に阻止できる可能性があります。追加のサイバーセキュリティ戦術には次のものが含まれる場合があります。

• 機密データやシステムイメージの バックアップを 、理想的にはハードドライブやネットワークから切り離せるその他のデバイスに維持します。
  
  
• 一般的に悪用される脆弱性を塞ぐ パッチを定期的に適用することで、 ネットワークの 攻撃対象領域を 減らします。  ウイルス対策ソフトウェア、セキュリティオーケストレーション、自動化および対応（SOAR）、エンドポイント検出および対応（EDR）、セキュリティ情報およびイベント管理（SIEM）、 拡張検出および対応（XDR ）などのセキュリティツールも、セキュリティチームがランサムウェアを迅速に阻止するのに役立ちます。
  
  
• サイバーセキュリティトレーニングは 、従業員がフィッシング、ソーシャルエンジニアリング、悪意のあるリンクなど、一般的なランサムウェアのベクトルを認識し、回避するのに役立ちます。
  
  
• 多要素認証 、 ゼロ・トラスト・アーキテクチャ、ネットワーク・セグメンテーションなどの アクセス制御を導入する ことで、ランサムウェアが特に機密性の高いデータに到達するのを防ぐことができます。
  
  
• 包括的な インシデント対応 計画は 、セキュリティチームがほとんどのサイバー脅威に対処するのに役立ちますが、RaaS攻撃には特に役立ちます。 攻撃の属性はあいまいなため、インシデント対応チームは常に同じ戦術、技術、手順 (TTP) を使用したランサムウェア攻撃を当てにすることはできません。さらに、インシデント対応者が RaaS 関連会社を追い出した場合でも、アクセス ブローカーがそのネットワーク上で依然として活動している可能性があります。プロアクティブな 脅威ハンティングと 徹底的なインシデント調査は、セキュリティチームがこうした回避的な脅威を根絶するのに役立ちます。