サイバー犯罪ビジネスはRaaS(Ransomware as a Service)からEaaS(Extortion as a Service)に移行していく可能性があるようです。現在、その「台風の目」となっているのがScattered Spider、Lapsus$、ShinyHuntersの連合体とみられるScattered Lapsus$ Huntersです。Scattered Lapsus$ Huntersは活動の休止を一時発表しましたが、Salesforceインスタンスの侵害で10億件のデータ窃取を主張するなど活動をさらに活発化させています。
ランサム→二重脅迫→恐喝
マルウェアによってターゲットのデータを暗号化し、復号化と引き換えに身代金として金銭を要求するのがランサムウェア攻撃です。ランサムウェア攻撃は、フランチャイズビジネスのようにツールや攻撃手法などを提供・開発する「胴元」グループと実際に攻撃を担うグループと分担してビジネス化されており、ターゲットから得た犯罪収益をそれぞれ「山分け」することで規模を拡大させてきました。このランサムウェア攻撃のビジネス化はRaaS(Ransomware as a Service)と呼ばれています。
現在、メディアを賑わせているアサヒHDへのサイバー攻撃ではQilinランサムウェアが攻撃を行ったと報じられていますが、QilinランサムウェアもRaaSです。ですので、実際の攻撃者はアフィリエイトと呼ばれるグループもしくは個人が行っていると考えられ、よってアサヒHDへの実際の攻撃者は不明です。ちなみにマイクロソフトによるとQilinランサムウェアの攻撃者には北朝鮮の脅威グループも参入しているということです。
ランサムウェア攻撃は、当初はデータを暗号化して身代金を要求していましたが、被害組織が要求に応じないとデータの暗号化にとどまらずデータを窃取して、要求に応じなければ窃取したデータをリークサイトで公表するぞと脅して金銭を要求する二重脅迫型へと移行していきました。Qilinランサムウェアはこの二重脅迫型と言われています。
フィッシングメールもマルウェアも使わない
さらにデータを暗号化することなくデータを窃取してリークサイトでデータを公表するぞと脅す恐喝型が発生しました。警察庁はこの恐喝型のサイバー犯罪をノーウェアランサムと呼んでいます。Scattered Lapsus$ Huntersを担うShinyHuntersは、Salesforceインスタンスを侵害することで多くの企業からデータを窃取したことを主張しています。その手口はフィッシングメールもマルウェアも使わず、ITサポート担当者になりすました電話で従業員を騙してSalesforceのデータローダの改変版アプリをSalesforceポータルに接続することを承認させたり、役員になりすました電話でIT担当者から認証情報を盗み出すなどしてデータを窃取したりネットワークに侵入するなどしているようです。オレオレ詐欺が連想される手口ですが、企業を相手により巧妙なソーシャルエンジニアリングを駆使したボイスフィッシングの手口で、役員になりすましたケースではLinkedinなどでその役員の情報や音声を取得してなりすましていたようです。
Salesforceインスタンスを侵害する攻撃に関してScattered Lapsus$ Huntersは10億件のデータを盗んだと主張しリークサイトでターゲットとなった組織の名前を明らかにしていて、その中にはトヨタ自動車やフジフィルム、イケアなども含まれているようです。最近のメディア報道によると、ShinyHuntersは協力関係にある脅威アクターが恐喝行為で得た収益から25~30%の収益を得ていることを明らかにしたということです。実際、Salesforceインスタンスの侵害事案ではテレグラムチャンネルで恐喝者を募集していることがネットで指摘されています。Unit42によると、ShinyHuntersと連携してデータ窃取・恐喝ビジネスに乗り出している脅威グループもあるようで、サイバー恐喝のビジネス化の背景についてUnit42は法執行機関がランサムウェア活動の阻止に注力していることをあげています。つまりランサムウェアの取り締まりが厳しくなる中でTTPが異なるサイバー恐喝に移行するということのようです。今後、サイバー恐喝がEaaS(Extortion as a Service)として分業化されてビジネス化していくことが懸念されます。
https://unit42.paloaltonetworks.com/scattered-lapsus-hunters/
https://cloud.google.com/blog/topics/threat-intelligence/voice-phishing-data-extortion?hl=en