Venafiは8月2日(米国時間)、「From Babuk Source Code to Darkside Custom Listings — Exposing a Thriving Ransomware Marketplace on the Dark Web|Venafi」において、VBAマクロを介して拡散するランサムウェアに関連するダークWebサイトの調査結果を公開した。これは、OfficeのVBAマクロを悪用したキャンペーンに対し、デフォルトでVBAマクロ機能をブロックしたMicrosoftの対応を受けて、行われた調査結果。

  • From Babuk Source Code to Darkside Custom Listings — Exposing a Thriving Ransomware Marketplace on the Dark Web|Venafi

    From Babuk Source Code to Darkside Custom Listings — Exposing a Thriving Ransomware Marketplace on the Dark Web|Venafi

Venafiは、2021年11月から2022年3月にかけてサイバー犯罪インテリジェンスプロバイダのForensic Pathwaysと共同でマーケットプレイスやフォーラムなど3500万件のダークWebサイトを分析。その結果、洗練されたランサムウェアの製品およびサービス用のWebページが475件見つかり、いくつかの有名なサイバー犯罪グループがランサムウェア・アズ・ア・サービス(RaaS: Ransomware-as-a-Service)を積極的に販売していることが明らかとなった。

主な調査報告は次のとおり。

  • ダークWebサイトで発見されたランサムウェアの87%は悪意のあるマクロを介して配信されていた
  • マーケットプレイスの出品物やフォーラムでの会話から、30種類の異なるランサムウェアの「ブランド」が確認された
  • 販売されているランサムウェアの多くはBabuk、GoldenEye、Darkside/BlackCat、Egregor、HiddenTear、WannaCryなど、著名なサイバー攻撃で成功した系統のものだった
  • 知名度の高いキャンペーンで使用されたランサムウェアの系統は、関連するサービスに高い価格がついていた。例えば、最も高価だったのは、2021年のColonial Pipelineランサムウェア攻撃で使用されたDarksideランサムウェアのカスタマイズ版で、1262ドルだった
  • 有名なランサムウェアのソースコードは一般的に高い価格帯で取引されており、Babukのソースコードは950ドル、Paradiseのソースコードは593ドルで販売されている

今回の調査ではさまざまな価格帯のランサムウェアに加え、最小限の技術的スキルを持つ攻撃者がランサムウェア攻撃を容易に行えるよう支援するサービスやツールも幅広く発見されたとのことだ。最も多く掲載されているサービスは、ソースコード、ビルドサービス、カスタム開発サービス、ステップバイステップのチュートリアルを含むランサムウェアパッケージを提供するものだったとしている。

Venafiは今回の調査結果から、ランサムウェアはあらゆる組織にとって最大のサイバーセキュリティリスクの1つで有り続けると結論付けている。