キリンランサムウェアの内部:アフィリエイトが身代金の85%を受け取る
キリンランサムウェアのアフィリエイトは、Qilinランサムウェアサービス(RaaS)の一環として、身代金の支払いごとに80%から85%を稼いでいると、Group-IBの新たな調査結果が示しています。
サイバーセキュリティ企業は、2023年3月にグループに潜入し、オンラインの別名Haiseを使うキリンの募集担当者とのプライベートな会話を通じて、アフィリエイトの支払い構造やRaaSプログラムの内部機能についての詳細を明らかにしました。
「キリンランサムウェアの攻撃は、被害者ごとに最大の影響を与えるためにカスタマイズされています」と、シンガポールに本拠を置く同社は詳細な報告書で述べています。「そのために、脅威アクターは暗号化されたファイルのファイル名の拡張子を変更したり、特定のプロセスやサービスを終了したりするなどの戦術を活用することができます。」
キリン(Agendaとも呼ばれる)は、Trend Microによって2022年8月に初めて文書化され、Goベースのランサムウェアから2022年12月にRustに切り替えました。
Rustの採用は、回避検知能力だけでなく、Windows、Linux、およびVMware ESXiサーバーを標的とできるという点でも重要です。
このグループによる攻撃は、悪意のあるリンクを含むフィッシングメールを使用して初期アクセスを取得し、機密データを暗号化する前にそれを外部流出させるというダブルエクスタージョンモデルを採用しています。
2022年7月から2023年5月にかけて、最大12の異なる企業のデータがキリンのデータリークポータルでダークウェブに投稿されました。
被害者は、主に重要インフラ、教育、および医療部門に広がっており、オーストラリア、ブラジル、カナダ、コロンビア、フランス、日本、オランダ、セルビア、英国、および米国に位置しています。
Group-IBは、キリンのアクターがアフィリエイトに対して管理を行うために、アフィリエイトパネルを提供しています。アフィリエイトは、興味のある標的を特定し、攻撃を実行するためにこのパネルを使用し、さまざまな操作の効果的な監視を行うことができます。
セキュリティ研究者のニコライ・キチャトフは、「キリンランサムウェアグループは、標的、ブログ、スタッファー、ニュース、ペイメント、FAQなどのセクションに分かれたアフィリエイトパネルを持ち、アフィリエイトネットワークを管理および調整しています」と述べています。
ターゲット - 身代金要求書、ファイル、ディレクトリ、スキップする拡張子、暗号化する拡張子、終了させるプロセス、暗号化モードなどを設定するセクション ブログ - 身代金を支払っていない攻撃された企業に関する情報を含むブログ投稿をアフィリエイトが作成するためのセクション スタッファー - 脅威アクターがチームの他のメンバーのアカウントを作成し、特権を管理するためのセクション ニュース - ランサムウェアパートナーシップに関連するアップデートを投稿するためのセクション(現在は空白) ペイメント - トランザクションの詳細、アフィリエイトウォレットの残高、不正な収益を引き出すオプションを含むセクション FAQ - ランサムウェアの使用手順に関するサポートとドキュメンテーション情報を掲載したセクション
キチャトフは、「キリンランサムウェアは重要な部門企業を標的としていることで悪名を馳せていますが、すべての業界の組織にとって脅威となっています。さらに、ランサムウェアオペレーターのアフィリエイトプログラムは、ネットワークに新たなメンバーを加えるだけでなく、より高度なツールや技術、サービス提供を提供しています」と述べています。
私について:
東京を拠点にサイバーセキュリティの実践スペシャリストとして活動しています。私の日本語は完璧ではありませんが、あなたと快適に話すことができます。ここで私を見つけることができます -
LinkedIn - https://www.linkedin.com/in/arpitjain099/
GitHub - https://github.com/arpitjain099
私はこのブログを情熱的なプロジェクトとして運営しています。コーヒーを買うことで、私の仕事をサポートすることができます - https://www.buymeacoffee.com/arpitjain099