FIN12の戦略
二重恐喝となるように活動するランサムウェア攻撃が多く発生しています。
一般的な二重恐喝の段取りはこういったものです。
- 侵入する:攻撃行為の開始
- データを盗み出す
- データを暗号化する:攻撃行為の完了
- 復号化したければ金を払え:1段階目の恐喝
- データを公開されたくなければ金を払え:2段階目の恐喝
犯罪者はなるべく攻撃を完了させたいと考えます。
攻撃を発見・妨害されたくありません。
攻撃を発見・妨害される可能性があるのは、攻撃中です。
攻撃が完了してしまえば、あとは脅してお金を払わせるだけです。
では、どのようにして攻撃の発見・妨害を回避しようとするでしょうか。
いくつか戦略はあると思います。
- 技術的に見つかりにくくする
- rootkitを使うなどして、攻撃の検出が困難な状態にして、攻撃を実施する
- 攻撃を発見できるツールを無効化するなどして、攻撃の検出が困難な状態にして、攻撃を実施する
- 攻撃時間を工夫して見つかりにくくする
- 攻撃と認識されないように攻撃活動を細く長く実施して、攻撃を完了させる
- なんらかの方法で攻撃に必要な時間を短縮して、見つかる前に攻撃を完了させる
FIN12はこの「なんらかの方法で攻撃に必要な時間を短縮して、見つかる前に攻撃を完了させる」を選択しました。
FIN12の戦略は「攻撃時間を短くするためにデータを盗み出すことは実施しない」です。
FIN12の段取りは次の通りです。
- 侵入する:攻撃行為の開始
- データを暗号化する:攻撃行為の完了
- 復号化したければ金を払え:恐喝
この戦略によって、攻撃に必要な時間は短縮されました。
このことは別の効果も生み出していると考えられます。
- 攻撃に必要な要素技術が少なくなるため、攻撃ツールの準備が少なくなる
- 攻撃に必要な要素技術が少なくなるため、攻撃ツールのマニュアル整備が少なくなる
- 攻撃に必要な要素技術が少なくなるため、攻撃を実施するための技術習得が容易になる
この効果もあってか、FIN12の活動は多くの大きな被害を生み出しています。
戦略が重要なのは攻撃側だけではありません。
防御側も今一度戦略を見直して、より効果的な方式で攻撃に備えることが必要なのかもしれません。
参考記事(外部リンク):FIN12 ransomware gang don’t implement double extortion to
prioritize speed
securityaffairs.co/wordpress/123084/cyber-crime/fin12-ransomware-report.html
