犯罪戦略は「分業化」
ランサムウェア犯罪の実態解明はまだまだ十分ではなく、不明な部分も多いが、彼らの犯罪戦略は「分業化」によって支えられているようにみえる。最近のランサムウェア犯罪の事例でみると、犯罪グループによって差異はあるものの、およそ以下のように分業化がなされている*1と考えられる。
a. 初期侵入 ──脆弱な環境を調べ、その脆弱性を悪用するなどして不正アクセスし、外部からコントロール可能な状態を維持し、そのリモートアクセス権を提供する役目(アクセス・ブローカー)。
b. ランサムウェアの実行 ──成功報酬型で犯罪の報酬を得る、「アフィリエイター」と呼ばれる実行者が、アクセス・ブローカーから購入したアクセス権を元に不正アクセスを実施する。その際に起点となる感染端末からネットワーク内で感染を広げていくために「権限昇格」や「ネットワーク内の水平移動」などを行う。その後、「ランサムオペレータ」と呼ばれる、元締めに近い犯罪者からランサムウェアを購入して実行する。
c. 身代金支払いの交渉 ──ランサムウェア攻撃を実行した先の被害者と身代金の支払いの交渉を行う役目で、アフィリエイター自身が担う場合と元締めのランサムオペレータが行う場合がある。
こうした戦略は、初期のランサムウェア犯罪の失敗、つまり、旧来型のランサムウェアの弱点であった、「被害者側が、バックアップとリストアで対応できる」ことを踏まえての戦略である。被害者が身代金を支払って復号するためキーを入手することよりもバックアップから復旧する方法を選んだ場合は、当然犯罪者には1円も入らないばかりか単に痕跡を残して逮捕されるリスクを負うことになるのだ。
2016年にサンフランシスコ市の交通局が被害を受けた際にも、被害者が、被害を受けたチケット販売端末を復旧させる方法を選んだために、犯人とすれば1円も得られなかっただけでなく、刑事訴追されるリスクだけが残ったことになる。
こうした失敗をふまえて生み出された手口が、「二重脅迫型」の恐喝だ。
*1 出典:The Secret Life of an Initial Access Broker:ke-la.com/REvil ransomware devs added a backdoor to cheat affiliates
