Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

Ryukはランサムをビジネスにした

代表的なランサムオペレータ「Ryuk」の被害額が推定1.5億ドル(約156億円)に達している可能性がある事がAdvanced IntelligenceとHYASの共同調査により判明しました。

japan.zdnet.com

 ランサムウェア「Ryuk」を利用する犯罪グループが、世界中の被害企業からBitcoinの形で巻き上げた身代金は1億5000万ドル(約160億円)を超えると見られる。

「Ryuk攻撃を受けた企業が著名なブローカー経由で支払う身代金は犯罪グループに多額の利益をもたらしている」と両社は指摘する。「身代金は数百万ドルに上ることもあるが、通常は数十万ドル規模だ」

 Advanced IntelligenceとHYASによれば、被害企業が支払った身代金は一時口座に集められた後、マネーロンダリング資金洗浄)サービスに渡される。その後、再び犯罪市場に環流して他の犯罪サービスの支払いに使用されるか、本物の暗号通貨取引所で現金化される

ZDNet記事より引用)

 

元ソース(Advanced Intelligence)

Crime Laundering Primer: Inside Ryuk Crime (Crypto) Ledger & Risky Asian Crypto Traders(1/8)

 

キタきつねの所感

ランサムを(Darkな)ビジネスとして考えた場合、最も成功しているランサムオペレータはRyukである様です。ZDNet記事に掲載されていたRSA Conference2020のFBIの資料を引用しますが、2018年~2019年のデータでは、”ランサム利益”の約4割をRyukが得ているとされ、2020年はREvil、Maze、Egregorの被害が相当数あったのでこのグラフは変化するとは思いますが、累積利益という意味ではRyukが圧倒的である事は間違い無さそうです。

FBI

 

上記のFBIの資料では、2018年2月~2019年10月のRyukによる被害額が6126万ドルと発表されていることから、約9000万ドルを2020年と2018年以前に稼いでいる事となり、最新数字は出てないものの、2020年もRyukのビジネスは成功した事を示唆しています。

 

もう1点、記事で気になったのが、身代金の額が「通常は数十万ドル(数千万円)」とされている事です。

Ryukはランサム(身代金)交渉において非常にドライであり、値引き交渉にあまり応じない事でも知られていますが、多額の身代金を支払う可能性が高い企業・組織(相手の懐具合)事前調査した上で攻撃に及んでいる事も、多額の身代金を得る事に結び付いている様に思えます。

リュークの背後にいる犯罪者は非常にビジネスライクであり、被害者のステータス、目的、または支払い能力にまったく同情していないことは痛いほど明らかです。時には犠牲者はリュークと交渉しようとし、彼らの重要な申し出は一言の返答で拒否されます。Ryukは、貧困救済に関与していると主張し、支払い手段が​​不足している1つの組織に応答も承認もしませんでした。

Advanced Intelligence記事より引用)※機械翻訳

 

元ソース(Advanced Intelligenceの記事)では、ロンダリング手法まで含めて概要解説していますので、ご興味ある方はご覧になると良いかと思います。

調査では、61のBitcoin(身代金)支払いの流れを追跡した結果として、既知の取引所Huobi/Binanceを使っている事で、Ryukはビジネスとして追跡が難しい(盗んだ)アカウントを使って現地通貨に換金していると分析されていたのは、非常に興味深く感じました。

 

ロンダリング手法よりもランサム対策について知りたい方も多いかと思いますが、Ryukの攻撃手法の分析を見ると、フィッシングから脆弱性攻撃(主にVPN)の初期侵入手口は他のランサムオペレータと変わりません。

Advanced Intelligence記事より引用

 

Ryukの初期侵入への対策案としては元ソースには、以下の事が書かれてました。どれも一般的な事ではありますが、ご参考まで。

Microsoft Officeマクロの実行を制限して、悪意のあるマクロがその環境で実行されないようにします。

・すべてのリモートアクセスポイントが最新であり、2要素認証(2FA)が必要であることを確認してください。

CitrixやMicrosoftRDPな​​どのリモートアクセスツールの使用は特に危険であると見なす必要があり、必要に応じてIPアドレスの特定のリストに公開を制限する必要があります。

Advanced Intelligence記事より引用)※機械翻訳

 

Ryukの成功に影響を受けた”ランサムビジネス”への新規参入者は今年も増えると思いますが、彼らのビジネスが縮小していく様に、企業・組織側は当たり前の事をきちんと対策していく事が求められています。

 

仮想通貨をマイニングするコンピューターのイラスト

 

更新履歴

  • 2021年1月9日 AM