活発すぎるHive ransomware
悪名高いランサムウェアギャングのひとつにHive ransomwareがあります。
名前の知られたランサムウェアギャングの多くは、恐喝に使用するためのリークサイトをもっています。
Hive ransomwareのリークサイトには、確認時点で55社が掲載されています。
この55社は身代金を支払わなかったために情報が公開されてしまっている会社です。
リークサイトに掲載されている会社の数が55社というのは大きな数ですが、他の大規模な展開を確認されているギャングに比較するとそこまで大きなものではないかもしれないと考えられていました。
しかし、Group-IB社の調査によって、その活動の大きさが確認されました。
調査員はHive ransomwareギャングの管理パネルへの接続に成功しました。
管理パネルでは過去の恐喝から現在の恐喝までの情報を確認できるようになっていました。
その管理パネルの情報から、活動の全貌が見えてきたのです。
Hive ransomwareの大きな活動の観測は、2021年6月から観測されています。
そして管理パネルで確認された恐喝事例の件数は、2021年6月から2021年10月16日までの範囲だけで、実に355件に達していたのです。
平均することに意味がどのくらいあるのかはわかりませんが、1か月あたり約90社、1日あたり約3社が被害者となっていっている計算になります。
管理パネルでの情報によると、被害者のうちの約30%が、身代金の支払いに応じていることが確認されています。
そして、10月から11月の期間で集めた身代金の合計金額は、650万ドルを超えているというのです。
Hive ransomwareのRaaS(Ransomware as a Service)には、アフィリエイトを助ける機能が充実しています。
- 15分もかからずに簡単に作ることができる自分用にカスタマイズされたマルウェアの作成機能
アフィリエイトは簡単に攻撃のためのツールを入手できます。 - 全部のアフィリエイトが実施している攻撃中の被害者の情報の参照機能
攻撃対象の情報を確認することができます。 - 交渉のために来訪する被害者とのチャット機能
他のアフィリエイトの交渉の様子をみることができます。
自分が交渉するときのネタ帳にもなるのかもしれません。 - 要求中の身代金合計額と支払い済みの身代金合計額の参照機能
BitcoinとMoneroで表示されます。
アフィリエイトの取り分が80%であることも表示されています。
その額の大きさで、アフィリエイトをあおる意味があるのかもしれません。
とても大きな活動であることが確認されたのです。
では、どのように対抗していけばよいのでしょう。
攻撃の作戦は変化していくことがありますが、大きな急速な変化はあまり想定されません。
彼らは現在基本的に被害者への最初のアクセスには、次のものを使用します。
- 脆弱なRDPサーバー
- 侵害されたVPNクレデンシャル
- 悪意のある添付ファイルを含むフィッシングメール
基本的な安全のための取り組みで対応していくことになりそうです。
参考記事(外部リンク):Hive ransomware enters big league with hundreds breached in
four months
www.bleepingcomputer.com/news/security/hive-ransomware-enters-big-league-with-hundreds-breached-in-four-months/参考記事(外部リンク):HI-TECH CRIME TRENDS 2021/2022
www.group-ib.com/resources/threat-research/2021-reports.html
