エベレストランサムウェアグループは、サイバー犯罪者にとって大きな転換期であると研究者らが考える中、企業ネットワークへのアクセス権を従業員から直接購入する取り組みを強化している。
エベレストはダークウェブ被害者向けブログのトップ投稿で、最初の侵入を支援した人々に、成功した攻撃で得た利益の「かなりの割合」を提供すると述べた。
同グループはまた、各作戦の性質に関してパートナーに「完全な透明性」を提供し、攻撃における役割については秘密を厳守すると約束した。
Everest は、特に米国、カナダ、ヨーロッパに拠点を置く組織へのアクセスを求めており、TeamViewer、AnyDesk、RDP などのさまざまな手段によるリモート アクセスを受け入れます。
サイバー犯罪フォーラムで使用されている言語から、このグループはロシア語を話していることが示唆されているが、頻度は低いものの英語も使用しているのが観察されている。
エベレストランサムウェアグループは、ディープウェブブログで企業内部者を勧誘する意図を宣伝している。
このメッセージは7月に最初に投稿されたものと同じで、研究者らがランサムウェア対策を完全に中止する可能性があると示唆したのとほぼ同時期だ。
Searchlight Cyber によると、この数か月間、ランサムウェア集団は初期アクセス・ブローカー (IAB) になるという「極めてまれな」動きを示す証拠をますます多く示しているという。
同社は2021年に初めてIABとしての活動を開始しましたが、2022年11月以降はIABの活動レベルが高まっています。
IAB は、組織のネットワークへのアクセスを譲渡するためにランサムウェア犯罪者から報酬を受け取るグループの一種です。場合によっては、一度に複数のグループにアクセス権を譲渡することで、ランサムウェアの展開を簡素化します。
ランサムウェアグループからIABへの異動は、通常は利益の少ない事業につながる珍しいケースだが、その理由は完全には解明されていないが、法執行機関の捜査を逃れることやチームメンバーを失うことなどが考えられる。
ランサムウェア集団の国際的な協調摘発がますます一般的になりつつあり、EverestはHiveやREvilの次の標的となることを避けようとしている可能性があります。今年初めにBreachForumsが閉鎖されたことを受けて、研究者らは、Everestが既存のランサムウェア集団としての悪名を利用し、新たなビジネスモデルの一環としてアクセスを販売しようとしている可能性もあると指摘しています。
サーチライト・サイバーは「グループ内の人員交代により、ランサムウェア以外の戦術に変更せざるを得なくなった可能性もある」と述べた。
「例えば、サイバー犯罪者グループ内での内紛はよくあることで、ランサムウェア攻撃の暗号化部分に関与していた人物が離反し、本格的なランサムウェア攻撃を実行するための技術力やスキルが低下している可能性も十分にあります。
「初期アクセスに関与したグループのメンバーが残っているのであれば、過去数カ月間、同グループが主にIABを実施してきた理由が説明できるだろう。」
知っていることに固執する
エベレストでの IAB の活動が活発化していることを示す証拠があるにもかかわらず、同グループが再びランサムウェアに特化したグループに戻らない、あるいは現在ランサムウェアに固執しようとしていないというわけではない。
Everestは3年間の歴史の中で、IABとランサムウェア活動の間で定期的に変動してきました。2021年11月に初めてIABアクセスが販売されましたが、2022年の大半は主にランサムウェア活動に従事していました。
- 米国の建設大手、サイバー攻撃の具体的な証拠を発見
- 米海軍水兵が中国に1万5千ドルで秘密軍事設計図を売却したことを認める
- 混沌からリズムへ:マイクロソフトのパッチ火曜日20周年を祝う
- curl の脆弱性、1週間の予告を経てパッチで修正
内部者アクセスに関する最新の宣伝は、エベレストが自社の攻撃のために内部者アクセスを遮断しようとしている可能性があり、この動きはランサムウェア攻撃によってより大きな利益を生み出すことにつながる可能性がある。
「あらゆる種類の組織がビジネスモデルを最適化し、不必要なコストを見つけたら削減している」とセンスオンのセキュリティエンジニアリング責任者、ハリー・マクラーレン氏は語った。
脅威アクターも同様であり、競争が激化するこの分野では、IABを排除することで彼らの経済的利益が向上する可能性があります。脅威アクターから被害者への直接攻撃は、あらゆる脅威において古くから用いられてきた手法であり、現在でも多くのAPT攻撃において、認知度や発見可能性を最小限に抑えるために用いられています。
内部関係者を攻撃に誘い込むことの潜在的成功に関しては、エベレストは広告に応募した人々を審査するのに時間を費やす必要があるだろう。
内部関係者を活用しようとする試みは必ずしも成功するとは限らない。2021年にFBIが米国の主要標的に対する非常に利益になる可能性のある攻撃を阻止したケースがそうだった。
もしこれが IAB を放棄してより直接的なルートを追求する試みであるならば、ほとんどの組織では潜在的な攻撃対象者のプールはかなり小さいため、サイバー犯罪者にとって容易なことではないだろうと専門家は考えている。
「組織内の内部関係者のうち、どれくらいの人がアクセス権を売る意思があるかを予測するのは難しいが、その可能性はゼロではない」と、Nozomi Networks Labsの脅威情報マネージャー、アレクセイ・クレイメノフ氏はThe Registerに語った。
「例えば、不満を持った従業員が復讐として組織に損害を与えようとしているという話を私たちは皆聞いたことがあるでしょう。」
内部関係者の誘致
不満を持ったり反抗的な従業員を捕まえる戦術は目新しいものではなく、LockBit など、さまざまなサイバー犯罪者グループが長年にわたって採用してきました。
PulseとBravura Securityによる2022年の調査によると、企業幹部の65%が、勤務先のネットワークへのアクセスを容易にするためにランサムウェア犯罪者から直接連絡を受けたことがある。
専門家に対して、窃盗犯のアクセスを容易にしたり、ランサムウェアを自ら展開したりすることと引き換えに、多額の支払いが約束されます。
2021年にアブノーマル・セキュリティが行った調査により、デーモンウェア集団の一員であると主張する人物が、ランサムウェアを展開するのと引き換えに、攻撃が成功した場合の総収益の40%を提供していたことが明らかになった。
最初のやり取りでは、Demonware は、研究者が採用した偽の人物に対し、組織を 250 万ドルで身代金要求できると想定して、ビットコインで 100 万ドルを提示しました。
さらに会話を進めると、経営幹部を狙った最初のフィッシング攻撃が失敗すると、犯罪者は次に内部関係者にアクセスを頼ることが明らかになりました。®
