米連邦捜査局(FBI)、米国土安全保障省サイバーセキュリティー・インフラストラクチャー・セキュリティー庁(CISA)、米保健福祉省(HHS)は2022年11月17日、「Hive(ハイブ)ランサムウエア」を警告する共同声明を発表した。
Hiveは2021年6月に出現したランサムウエアおよびランサムウエア攻撃者の名称。FBIによると、2022年11月の時点で1300を超える企業や組織にランサムウエア攻撃を仕掛け、約1億ドル(約137億円)の身代金を受け取っているという。
急拡大しているHiveの脅威。一体、何が恐ろしいのだろうか。
「RaaS」と「二重脅迫型」を採用
HHSは2022年4月に公開したリポートの中で、「Hiveランサムウエア攻撃者の活動の多くは、他のランサムウエア攻撃者と変わらない。ただし、多種多様なTTP(戦術、技術、手順)を採用しているため、防御や緩和が難しい」と指摘している。
まず、他のランサムウエア攻撃者と変わらない部分から解説しよう。
多くの攻撃者と同様に、Hiveランサムウエア攻撃者は「RaaS(Ransomware as a Service)」を運用している。RaaSとは、ランサムウエア攻撃を仕掛けるためのクラウドサービスだ。
企業や組織のネットワークに侵入してランサムウエアを感染させたりデータを盗んだりするのは、RaaSの利用者である「アフィリエイト」が担当する。RaaSはアフィリエイトに対してランサムウエアや脅迫に必要なリソースなどを提供する代わりに、身代金の一部を受け取る。
RaaSを運用するランサムウエア攻撃者は、アンダーグラウンドの掲示板などで実行犯となるアフィリエイトを募集する。
Hiveランサムウエア攻撃者によるアフィリエイトの募集は、2021年9月に確認されている。募集の書き込みによると、身代金の80%をアフィリエイトに支払うとしている。
そしてアフィリエイトとして採用した人に対して、RaaSのサーバーに対するアクセス権を付与する。RaaSのサーバーにはアフィリエイトごとに異なるコントロールパネルが用意されており、ランサムウエアや脅迫状(ランサムノート)などをダウンロードできる。身代金の支払い状況なども確認できる。