Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

Cl0Pランサムの追跡記事

REvil、CONTI、Netwalker等のランサムオペレータとは違い、アフェリエイトプログラムを実施していない中で、大きな”成功”を収めているCl0Pについての追跡記事が出ていました。

www.vice.com

 

キタきつねの所感

この手のハッカー側にコンタクトを取った追跡(分析)記事は、ハッカー側が取材に警戒する事もあるのかと思いますが、個人的にはほとんど見かけた事がありません。Krebs氏のブログ記事でたまに見かける程度です

ランサムオペレータ側の心理を理解する上では良い記事だと思いますので、本日はこの記事を取り上げます。

 

Cl0P(FIN11,TA505, UNC2546)について、今更説明するまでも無いかと思いますが、ファイル転送サービスとして多くの企業にサービスを提供していたAccellion FTA(4月末でサービス終了予定)が脆弱性を突かれてハッキングされ、多くのFTA利用企業が被害を受けましたが、その2重脅迫を行い、リーク(暴露)サイトを運営しているランサムオペレータです。

※恐らくCl0PがAccellionを攻撃したと思われますが、記事でもその点は曖昧に書かれています。

 

4月上旬でのCl0Pリークサイトのトップ(=被害企業リスト)は以下の様なものでしたが、名前がよく知られている組織も多く含まれており、最近だと米国の名門大学がリストに掲載された事でも話題となりました。

UCLAもAccellion FTA経由でデータを漏えいした(Cl0Pランサム) - Fox on Security

f:id:foxcafelate:20210416060453j:plain

※日本ではまったく話題になっていませんし、記事を書いている4/16時点でニプロのリリースを確認できませんが、このリストの最後にNIPRO.COM」とあり、ニプロの米国子会社であるニプロメディカルがCl0Pの”被害”を受けた様に思われる掲載があります。

ランサムオペレータの”犠牲者数”を発表しているDarkTracerの最新の投稿(4/15)を見ると、Cl0Pはアクティブなランサムオペレータの中では上位に当たる事がよく分かります。

 

グラフを拡大してみると、以下の様になります。

f:id:foxcafelate:20210416063040j:plain

3月で見ると、Conti(ピンク)、Avaddon(赤)に次いで3位の”成果”を挙げていた事がわかります。これはMazeの活動終了や、ランサムとも密接に関係があったEmotetテイクダウンオペレーションが影響して、ランサム活動が低調である事も考えられますが、「Accellion FTAが4月にサービス終了(EOL)」であるという事で、Cl0Pが集中的に攻撃をかけていた可能性を強く感じます。

WEB特集 ガーディアンズ・オブ・サイバースペース ~知られざる戦い~ | IT・ネット | NHKニュース

 

前段が長くなりました。以下VICEの記事の中で印象に残った所をピックアップしていきます。

C10pサイバー犯罪者は現在、侵害された企業の顧客を募集して、ハッキングした企業を勧める手助けをしようとしています。これは、被害者から金銭を強要しようとするハッキンググループの最新のひねりであり、Cl0pが2021年初頭の最も興味深く恐ろしいハッキンググループの1つになった理由の1つです。

機械翻訳の文章が読みづらいのですが、ランサム被害企業の顧客にも侵害を知らせて、顧客からランサム被害企業に「問い合わせ」させる手法を書いているのだと思います。

被害企業は内々にランサムインシデントを処理しづらくなる、嫌らしい攻撃(暴露)手法です。

※先日ソーシャルエンジニアリングの記事を書きましたが、多くのランサムオペレータは「ソーシャルエンジニアリング」を取り入れて自分たちの攻撃手法を深化させる事に貪欲だと改めて感じます。

ソーシャルエンジニアリングを学び直す - Fox on Security

 

グループを追跡しているいくつかのセキュリティ会社によると、Ta505およびFIN11としても知られているCl0pは、少なくとも3年前から存在しています。しかし、ハッカーは最近、数十の企業から機密データの宝庫にアクセスした後、より多くの見出しを獲得し、より目立つようになりました。すべて1回のハッキングのおかげです

Cl0Pは「目立たない」事が特徴の1つでしたが、大きなビジネスチャンス(Accellion FTAのハッキング)を確実に掴んだと言えるかと思います。

 

先週の時点で、CL0P ^ _-LEAKSには52社があります。これらはおそらく、ハッカーから要求された身代金を支払っていない企業です。このグループを研究したFox-ITの研究者であるAntonisTerefosは、このグループが150社以上をハッキングしたと推定しています。 

専門家はリークサイトに掲載されていない”組織”が、リーク表記されている組織の約3倍あるという分析をしています。3年で推定200組織だとすると、年平均で70社弱となり、主要のランサムオペレータの活動規模と比べて、そう大きくは無いかと思います。

 

Cl0pは、大きな犠牲者が数人いる限り、かなりのお金を稼ぐことができることを知っているようです。

2020年の終わりにFireEyeによって観察された1つのケースでは、Cl0pハッカーが被害者に2,000万ドルを要求しました。いくつかの交渉の後、被害企業は価格を600万ドルまで下げることができました。韓国のセキュリティ会社S2WLABは、1月に被害者が220ビットコインを支払うのを見たと述べました。これはFireEyeが観察したのと同じケースのようです。

別のケースでは、ハッカーは別の被害者に、合意に達するまでの時間に基づいて割引を提供しました。Goodyによると、3〜4日以内の場合は30%割引、10日以内の場合は20%割引、20日以内の場合は10%割引です。

一定数の企業から確実にランサム(身代金)を回収出来れば良いという考え方は、先日REvilがAcerに要求した50億円のランサム事件の様に、大手企業を狙い撃ちにして大金を狙う考え方とは少し違う様に感じます。

Acerがランサムウェア被害に、身代金は史上最高額の50億円以上 - GIGAZINE

 

Netwalker、REvil、CONTIなどの他のランサムウェアグループとは異なり、Cl0pはアフィリエイトプログラムを実行しません。つまり、マルウェアを他のサイバー犯罪者と共有して、手続きの一部を取得することはありません。Goodyによれば、Cl0pは最初から最後までハッキング操作全体を実行しているようであり、これにより収益の規模が縮小します。

彼らはゆっくりと着実なペースで満足している。つまり、成功したときに数百万ドルを要求していることを考えると、これらの妥協から潜在的に多くのお金を稼ぐことができないわけではない」とグッディ前記。「これらの他の俳優の何人かがそうであるように、彼らは必ずしも貪欲ではありません

そうしたCl0Pの”戦略”に影響していると思われるのが、アフェリエイトを導入していない事かも知れません。

貪欲にアフェリエイトと共にビジネスを拡大し、短期間に大金を得るというのは著名なランサムオペレータの多くが取り入れている”流行り”の手法ですが、その一方でアフェリエイトの”ミス”によって、Emotetのテイクダウンオペレーションの様に、ある日突然自宅に警察がやってくるリスクも大きくなる訳ですので、どちらが正しいとは言えるものではありませんが、Cl0Pの(仲間内だけで)ランサムビジネスを手堅く行う戦略によって、彼らが今後生き延びていく可能性も十分に秘めている気がします。

 

「彼らはあまりにも注目を集めており、良いことではありません昨年は誰も彼らに興味を持っていませんでした。現在、彼らと[法執行機関]の事件について書いている多くの報告があります」と匿名を希望したセキュリティ研究者は彼はマスコミと話すことを許可されていなかった、とマザーボードに電子メールで語った。「他のランサムウェアギャングが焦点を外すために行ったように、ブランドを変更するかもしれません。[独立国家共同体]の国のような安全な避難所に住んでいるため、運営を継続するかもしれません。うまくいけば、彼らのドアはある朝に蹴られます…」

Viceの記事では、最近のCl0Pの”目立った活躍”によって、彼らが逮捕される(=決定的なミスを犯す)可能性もあるのではないかと書いていますが、Accellion FTAは彼らにとって特需」であった可能性が高く、4月にAccellionFTAのサービスが終了する事から考えると、彼らの活動は徐々に目立たなくなってくる様に思います。

 

元記事は他にもいろいろと書かれていますので、英文記事ですが、ランサムオペレータ側の考え方を知りたい方は一読される事をお勧めします。

 

本日もご来訪ありがとうございました。

Thank you for your visit. Let me know your thoughts in the comments.

 

 攻撃する熊のイラスト

 

更新履歴

  • 2021年4月16日 AM