マカフィーは11月24日、Cyber Threat Allianceが今週発表したCryptWallランサムウェアの調査結果の解説を同社ブログで公開した。
Cyber Threat Allianceは、マカフィー(インテルセキュリティ)とフォーティーネット、パロアルトネットワークス、シマンテックが発足したアライアンスで、サイバー脅威への防御を改善するため、それぞれの顧客に対し脅威情報を共有している。
調査では数千件のサンプルを研究しており、さらにその一部は詳細な分析のために手作業で抽出している。このアウトプットを基に、すべての情報を一連の大きなデータセットに集約した後、データの関連付けと分析を行い、調査したすべてのCryptoWall攻撃で使用されている最初のビットコインウォレットを特定した。
次に、他のビットコインウォレットへのお金の流れを追跡したところ、被害者が払った身代金がすぐに別のビットコインウォレットに送金され、さらに別のウォレットへと次々と送金されることがわかった。このような送金が1日何度も行われるケースもあったという。
|
ビットコイン取引の最初のステップを示す図 |
こうして数千件の取引を分析した結果、これらの取引で得た多額のビットコインが集約された「マスターウォレット」にたどり着いた。
CryptoWall攻撃は2015年2月に始まっているが、このマスターウォレットが開設されたのは2014年4月。2015年2月以前の取引元は不明だが、2月にCryptoWall攻撃が活発になってから分析を行い、ビットコインをドル換算した場合の平均的な価値を基に取引金額を計算した結果、2カ月の調査期間中にCryptoWallに起因する身代金の推定額は3億2500万ドル(約400億円)に達している。
このレポートでは、このようなランサムウェアファミリの配信メカニズムとしてのAnglerエクスプロイトキットについても検討されている。
10月にCisco SystemsのTalosグループの研究者が発表した「Anglerの背後にあるグループをどのように崩壊させたのか」というレポートでは、ランサムウェアによる年間の収益が6000万ドル(約74億円)に上ったとの試算がある。また、Anglerのプロキシサーバのうち、1つを除くすべてがCryptoWallランサムウェアに悪用されていた月もあったと報告されている。
Anglerエクスプロイトキットにアクセスするには、一定の料金を支払う必要があるが、攻撃者はCryptoWallによる身代金を収益として得られるため、その料金を簡単に支払うことができたという。
このように、サイバー犯罪者は、CryptoWallや同様のランサムウェア攻撃で得られる収益に引きつけられて、類似のランサムウェア攻撃やアフィリエイトプログラムに参加したり、 新しいサービスを「ransomware-as-a-service」として開発し始めたりしていると考えられる。
この種の攻撃が今後増加すると予測されるが、Cyber Threat Allianceが開始した、セキュリティパートナー間で迅速に予兆を検知するサービスにより、この種の脅威を阻止できるという。
