米連邦捜査局(FBI▼)、米国土安全保障省サイバーセキュリティー・インフラストラクチャー・セキュリティー庁(CISA▼)、米保健福祉省(HHS▼)は2022年11月17日、「Hiveランサムウエア」を警告する共同声明を発表した▼(図1)。
Hiveは2021年6月に出現したランサムウエアおよびランサムウエア攻撃者の名称。FBIによると、2022年11月の時点で1300を超える企業や組織にランサムウエア攻撃を仕掛け、約1億ドル(約137億円)の身代金を受け取っているという。
急拡大しているHiveの脅威。一体、何が恐ろしいのだろうか。
「RaaS」と「二重脅迫型」を採用
HHSは2022年4月に公開したリポートの中で、「Hiveランサムウエア攻撃者の活動の多くは、他のランサムウエア攻撃者と変わらない。ただし、多種多様なTTP▼(戦術、技術、手順)を採用しているため、防御や緩和が難しい」と指摘している。
まず、他のランサムウエア攻撃者と変わらない部分から解説しよう。多くの攻撃者と同様に、Hiveランサムウエア攻撃者は「RaaS▼」を運用している。RaaSとは、ランサムウエア攻撃を仕掛けるためのクラウドサービスだ(図2)。
企業や組織のネットワークに侵入してランサムウエアを感染させたりデータを盗んだりするのは、RaaSの利用者である「アフィリエイト」が担当する。RaaSはアフィリエイトに対してランサムウエアや脅迫に必要なリソースなどを提供する代わりに、身代金の一部を受け取る。
RaaSを運用するランサムウエア攻撃者は、アンダーグラウンドの掲示板などで実行犯となるアフィリエイトを募集する。Hiveランサムウエア攻撃者によるアフィリエイトの募集は、2021年9月に確認されている。それによると、身代金の80%をアフィリエイトに支払うとしている(図3)。
