※本記事は、https://www.secureworks.com/ で公開されている Ransomware Groups Evolve Affiliate Models を翻訳したもので、 2025年4月23日執筆時点の見解となります。
国際的な法執行機関の活動により、目立ったランサムウェアグループは停止されましたが、サイバー犯罪者は依然としてその回復力と適応力を発揮し続けています。2025 年、Secureworks® Counter Threat Unit™ (CTU) リサーチャーは、DragonForceおよびAnubisランサムウェアの運営者が新しい提携モデルを導入して加盟メンバーを勧誘し、利益の増加を図ったことを観測しました。
DragonForce:分散型ブランディングモデル
DragonForce は、従来型のRaaS(Ransomware-as-a Service)として 2023年8月に登場しました。運営組織が2024年2月にアンダーグラウンドフォーラムで宣伝を開始して以来、同グループの暴露サイトに投稿された被害組織の数は着実に増加し、2025年3月24日の時点で136件を数えました。2025年3月19日のアンダーグラウンドフォーラムへの投稿で、DragonForceは「cartel」とブランド名を変更し、加盟メンバーが独自の「ブランド」を作成できる分散型モデルへの移行を発表しました(図1参照)。
図1. カスタマイズ可能な提携モデルへの移行に関するDragonForceのアナウンス(出典:Secureworks)
このモデルでは、DragonForceはインフラストラクチャとツールを提供しますが、加盟メンバーにランサムウェアの展開を要求しません。宣伝されている内容には、管理パネルとクライアントパネル、暗号化および身代金交渉ツール、ファイルストレージシステム、Tor ベースの暴露サイトと.onionドメイン、サポートサービスなどが含まれています。
このアプローチによって、DragonForceが他のRaaSスキームと差別化され、さまざまな加盟メンバーにとって魅力的に映る可能性があります。たとえば、確立されたインフラストラクチャとアクセス可能なツールが提供されているため、攻撃者の技術的な知識が限られている場合も、攻撃のチャンスが拡大します。技術力の高い攻撃者にとっても、独自のインフラストラクチャを作成・維持することなく独自のマルウェアを展開できる柔軟性は魅力的です。加盟メンバーの基盤を拡大することで、DragonForceは金銭的利益を得る可能性を高めることができます。ただし、共有インフラストラクチャは、DragonForceとその加盟メンバーにとってリスクともなります。一人の加盟メンバーが侵害された場合、他のアフィリエイトの活動内容や被害者の詳細も漏えいする可能性があります。
Anubis:3つの脅迫方式
Anubisの運営組織は、さまざまな戦術を用意して加盟メンバーの興味を惹いています。この脅迫スキームは、2025 年 2 月下旬にアンダーグラウンドフォーラムで初めて宣伝されたもので、次の3つの方式が提供されています。
- RaaS – 加盟メンバーに身代金の80%が支払われる、ファイルを暗号化する従来型のアプローチファイルを暗号化する従来型のアプローチ。アフィリエイトに身代金の 80% が提供される
- データ身代金 – 加盟メンバーが身代金の60%を受け取る、データ窃盗のみの脅迫
- アクセス収益化 – 加盟メンバーが身代金の60%を受け取る、加盟メンバーが侵害済みの被害組織への脅迫を支援するサービス
「データ身代金」方式では、詳細な「調査記事」が、パスワードで保護されたTor Webサイトに公開されます。その記事には被害組織の機密データを分析した結果が記載されています。被害組織には、その記事へのアクセス権と支払いを交渉するためのリンクが提供されます。攻撃者は、被害組織が身代金を支払わなければ、Anubisの暴露サイトに記事を公開すると脅迫します。運営組織は、X(旧 Twitter)アカウントを通じて被害組織の名前を公表することで、さらに圧力をかけます。また、攻撃者は、被害組織の顧客に侵害を知らせると脅します。こうした戦術は複数のランサムウェアグループが使用していますが、Anubisの運営組織は一歩進んで、侵害をさらに広い範囲に知らせると強い圧力をかけます。広告によると、侵害の事実は以下の当局に報告されるとされています:
- データ保護と情報の権利を管轄する機関である英国情報コミッショナー局(ICO)
- 米国保健福祉省(HHS)
- 一般データ保護規則(GDPR)の一貫した執行を保証する欧州データ保護委員会(EDPB)
このようなエスカレーション戦略は広く行われているわけではありませんが、前例はあります。2023年11月に、攻撃グループGOLD BLAZER は被害組織が身代金を支払わなかったことを受け、ALPHV(別名:BlackCat)の侵害を米国証券取引委員会(SEC)に報告 しました。CTU™リサーチャーは、他のランサムウェアグループが規制当局やコンプライアンス組織に報告を提出した例を把握していません。
「アクセス収益化」方式は、主に侵害後の活動に協力して、加盟メンバーが被害組織から身代金を脅し取ることを支援します。データ窃盗のみの方式と同様、加盟メンバーは被害組織のデータの詳細な分析を受け取り、これを使って圧力を高め、身代金の交渉を有利に進めます(図2を参照)。
図2. Anubisの「アクセス収益化」サービスの広告(出典:Secureworks)
広告では、特定の地域および業種の被害組織は除外されることが明記されています。多くのランサムウェアグループと同様、Anubisの運営組織は、旧ソ連諸国を標的とすることを制限しています。さらに、BRICS政府間組織の構成国(ブラジル、ロシア、インド、中国、南アフリカ、エジプト、エチオピア、インドネシア、イラン、アラブ首長国連邦)は除外しています。また、広告ではAnubisが教育機関、政府機関、非営利団体を標的とすることを明確に禁止しているとされていますが、医療機関については言及されていません。医療機関は、機密情報を大量に有しており、また規制遵守の義務があるため、Anubisの脅迫モデルにおいて魅力的な標的である可能性があります。
今後の展望
Secureworksは、2024年サイバー脅威の実態レポート ランサムウェアが依然として組織にとって重大な脅威であることを強調しています。法執行機関の取り締まりにより一部の運営組織がテイクダウンされる一方で、他のランサムウェアスキームが出現しています。しかし、第三者のレポート によれば、身代金の支払いは減少傾向にあります。この傾向は、ランサムウェアの暴露サイトに掲載される被害組織が増加していることからも裏付けられます。これらの投稿数は、身代金を支払っていない被害組織数を反映しています。サイバー犯罪者は金銭的利益を動機としているため、この状況を自分たちに都合のよい方向へ変えようと、革新的なモデルや積極的に圧力をかける戦術を採用しています。
身代金を支払うかどうかの決定は、組織の個別のリスク評価に基づいて行われますが、身代金の支払いは被害組織のデータ復旧や暴露回避を保証するものではありません。そのため、積極的な予防的アプローチの方が効果的です。CTUリサーチャーは、インターネット接続されたデバイスを定期的にパッチ適用し、条件付きアクセス ポリシーの一環としてフィッシング耐性のある多要素認証(MFA)を実装し、堅牢なバックアップを維持し、ネットワークおよびエンドポイント上の悪意ある活動を監視することを推奨しています。さらに、ランサムウェア攻撃に迅速に対応するためのインシデント対応計画を策定し、定期的に訓練する必要があります。また、米国サイバーセキュリティ・社会基盤安全保障庁 (CISA)および英国国家サイバーセキュリティセンター (NCSC)も、ランサムウェア攻撃のリスクを軽減するためのガイダンスを公開しています。
攻撃者がこれまでにどのようにランサムウェア攻撃を適応させてきたかについては、Secureworksのランサムウェアの進化 レポートをご覧ください。インシデントの緊急対応支援が必要な場合は、以下にお問い合わせください。Secureworksインシデント対応チーム
