セキュリティ ニュース

ランサムウェアは、自然に売れるわけではありません: ダークネットでのマルウェアの販売

Stefanie Smith, 2016年9月22日

アバストは Petya と Mischa の制作者がこれら 2 つのランサムウェア をダークネットで販売する方法について詳しく調査しました

ランサムウェアの Petya と、その弟分である Mischa は一体となって働き、ディスクやファイルを暗号化して、罪のない被害者が自分のコンピュータやファイルを元どおり利用できるようにするために数千ドルを支払わせます。特に興味深いのは、ランサムウェアの制作者が Petya と Mischa の販売を促進するための確固としたマーケティング戦略を持っていることです。彼らはランサムウェアのブランドを創り出しただけでなく、アフィリエイト・プログラムを用意して、IT に精通した、ごく普通の人でもランサムウェアを販売できるようにしました。

かつては趣味のようなものだったマルウェアが利益の上がるビジネスへと変貌し、真に悪質なマルウェアがサイバーギャングや犯罪者によって制作されて、ダークネットで販売されています。

Petya と Mischa の背後にいるグループは、自分自身を JanusCybercrime Solutions™ と呼び、ジェームズ ボンド映画の「ゴールデンアイ」のファンであるようです。ダークネットの他の多数のサイバーギャングと同様に、Janus は金儲けのためにこのビジネスを行っています。企業は適切なマーケティングを行うことによって自社製品の認知度を高め、事業から確実に利益を得て自社を繁栄させます。マルウェア ビジネスがますます高度化しているため、マルウェア制作者も最善のマーケティング手法を用いるように努める必要があります。

悪意のあるブランドの確立

多くの企業が戦略的な手法を用いて自社ブランドの認識度を高めるのと同様に、Janus は自分たちのマルウェアと他のマルウェアとの違いを引き立たせるために独自の方法を考案しています。

ブランドは、企業や製品に独自性を持たせ、競合他社と一線を画す役割を果たします。ブランドは名称、ロゴ、スローガンなど、どのような形態であっても、人々がその企業を素早く認識するのに役立ちます。

ダークネットでは数千人のサイバー犯罪者がマルウェアを販売しているため、自分のマルウェアを業界の主役に育て上げるためには、ブランド戦略が非常に重要になります。

Petya の最初のバージョンでは、Janus はブランド カラーとして赤を選びました。

Petya に感染したコンピュータには、このどくろの画像が表示されます。どくろは 1 秒おきに点滅して色が変わります。

いずれかのキーを押すと上の画面が開き、身代金の支払い方法に関する指示が表示されます。ここに欠陥が 1 つあります。Petya に感染すると、Windows が始動する前の PC の起動段階でこのメッセージが表示されるため、被害者が復号コードをコピー&ペーストすることは不可能です。つまり、被害者は 90 文字を超える復号コードを TOR に手動で入力しなければなりません。ランサムウェアの感染に、さらに悪運が重なったかのように感じられることでしょう…

ブランド認知の促進

企業は、一般の人々からどのように見られ、どのように認識されるかを変えるために、ブランド再構築を行うことが少なくありません。Petya の最初のバージョンの後で、Janus は小規模なブランド再構築を行い、そのプロセスでブランド カラーを赤から緑に変更したようです。

適切な視覚的要素の選択

ブランド戦略においては、ロゴが重要になります。ロゴは企業を瞬時に認識可能にする上で役立つため、ロゴの作成にあたっては通常、念入りな検討が行われます。

私たちは、どくろの緑色を上記のロゴに素早く関連付けることができます。これらの企業がどこから来ていて、何を行っているかをすべての人に知ってほしいと Janus が望んでいることは明らかです。キリル文字に加えてハンマーと鎌の使用は、Janus の母国をはっきりと示しているのではないでしょうか?

アフィリエイト マーケティング

アフィリエイト マーケティングとは、自社が製造販売している製品を他者が宣伝販売して顧客獲得に貢献した場合に報酬を提供することです。

Janus は Petya と Mischa のためにアフィリエイト マーケティング プログラムを設けています。彼らは、彼ら自身の言葉によると、加入会員が最新の感染を確認し、身代金の金額を設定し、被害者のバイナリを復号し、支払システム用のビットコイン アドレスとキーを生成できるシンプルなウェブインターフェースを作成しました。Janus が作り上げた支払いシステムは、ダークネットで提供されている他のシステムと比較すると非常に洗練されています。また、加入会員からの質問に対応するためのサポート チームも用意されています。

Janus は、加入会員が得た利益の一定割合を取りおくことによってこのサービスの運営費用を賄っています。例えば、加入会員が Petya で 125 ビットコインの利益を得た場合、 Janus はその会員に利益の 85 パーセントを与えますが、これは現在のレートで 6 万ドルを超える金額です。

アバストの脅威インテリジェンス部長を務める Michal Salat は、次のように語っています。「サイバー犯罪は、現在では現実世界で行われる麻薬取引と同じようなものになっています。」「麻薬取引を行うために化学者になる必要はありません。ギャングの仲間に入れば、売人になることができます。ハッカーは、かつてはマルウェアを自分でコード化しましたが、現在ではマルウェアをコード化する方法を知らなくても、マルウェアを販売できます。ダークネットで購入し、それを売ればよいのです。」 

マルウェアの拡散が大きな懸念事項であることはもちろんですが、それにも増して懸念されるのは、弊社の研究者が Janus のサイトで確認したやり取りに基づくと、Janus のアフィリエイト プログラムの加入会員が各自の勤務先の会社内でランサムウェアを拡散させていると疑われることです。

ソーシャル メディアのことを忘れてはなりません

今日では、ソーシャル メディアなしでブランドの販売促進を適切に行うことは不可能です。このことは、サイバー犯罪者でさえ承知しています! Janus は Twitter で自分たちの製品の宣伝を行っていますが、カンファレンスなどで Petya と Mischa に関してセキュリティ専門家が行った発言についてコメントもしています。

誘惑に負けないでください

弊社では、すべての人々に対し、マルウェアの配布を行わないよう強く呼びかけています。金銭を得ることは魅力的ですが、Petya や Mischa などのマルウェアを拡散させる

アバストは Petya と Mischa からの保護を提供します

アバストは Petya とその弟分である Mischa を検出してブロックします。アバストの使用に加えて、以下を実行することにより安全を維持できます。

  • 疑わしい添付書類 (圧縮された .js、.wsf、.vbs ファイルなど) は開かない
  • Microsoft Office ではマクロをデフォルトで無効にし、メールで受信した不審な/未知の添付書類のマクロは決して有効にしない
  • 重要なデータの最新のバックアップ コピーをオンラインまたはオフラインの安全な場所に保管する
  • お使いのシステムとアプリケーションが完全にアップデートされ、パッチが適用されていることを確認する