McAfeeは8月24日、ランサムウェアが最近増加傾向にあることについての解説を公式ブログに掲載した。先に公表した「McAfee Labs 脅威レポート:2015年5月」において、McAfee Labsにより確認された新種ランサムウェアの数が、第1四半期に2013~2014年の各四半期の2倍以上と急増したと紹介しており、今回の解説ではランサムウェアを用いる攻撃者側の事情について触れている。
McAfee Labsにより確認された新種ランサムウェアの数の四半期ごとの推移(McAfee Labs 脅威レポート:2015年5月より)
ランサムウェアが急増した理由の1つとして考えられるのが「ランサムウェアの入手が容易になり、アフィリエイトプログラムが効果的に機能している」ことだという。
ランサムウェアのアフィリエイトプログラム
ランサムウェア作成者は、できるだけリスクを抑えて利益を上げるためにアフィリエイトプログラムを開始し、アフィリエイトがランサムウェアキャンペーンの利権を購入する。アフィリエイトのキャンペーンが重複し、同一の国をターゲットにしてしまう可能性があるため、通常の最大アフィリエイト数は8~10に抑えられているという。
このプログラムによる収益の分配率は事前に話し合われ、アフィリエイトサーバもしくは配信サーバに組み込まれる。これらのサーバは隠しサーバで、アフィリエイトがログインしてキャンペーンの追跡などを行う。
アフィリエイトプログラムにおける収益分配モデルはさまざまだが、例えば80対20および75対25モデルでは大きい分配率がアフィリエイト、小さい分配率がランサムウェアインフラストラクチャの作者/所有者であることが確認されている。
この分配は、作者/所有者は負うリスクを最小限にしたいと考えている一方、アフィリエイトはカスタムパッカー/クリプタを作成または購入して、マルウェア対策ソリューションによるサンプルの検知を防ぐ、サンプルを広めるためにボットネットかエクスプロイトキットをレンタルする、電子メールアドレスリストを購入する、セキュリティソリューションを迂回する方法を見つけるなど、さまざまな労力をかけなければならないことが背景にあるという。
アフィリエイトは脅威を広めることに加え、キャンペーンを追跡し、支払い用のビットコイン(BTC)ウォレットを監視し、換金前に複数のウォレットに代金を振り分けねばならない。アフィリエイト/配信サーバの監視オプションにより、アフィリエイトはキャンペーンが成功しているかや、最も売り上げが高い国などの情報を得られる。
一部のケースでは、被害者のマシン上の正確なファイル数と合計ファイルサイズが暗号化されていたとのこと。こうした監視データは、次のリリースでサポートする言語(売上が好調なX国の言語)を決定する上で非常に有益となる。なお、かつては身代金の支払い後に常に秘密鍵が届けられていたわけではなかったが、今日ではそのようなことはほとんどないという。ランサムウェアの作者は、自らの評判を維持したいと考えている模様。
ちなみに、言語サポートに関して一つの裏話が紹介されている。闇市場で最近、ある作成者がランサムウェアでロシア語をサポートすると発表したところ、その後まもなく、この作成者はなぜランサムウェアでロシア語圏の国をターゲットにするのかという複数のコメントでひどく罵られたということだ。
ランサムウェア向けの各種サービスやコードの例
ランサムウェア作成のためのサービスやコードは、ウェブの深淵にあるフォーラムやマーケットプレイスを覗き込めば見出すことができ、数時間も調査すれば、多くの人々がそれらを提供していることが分かるという。以下はその例。
ロシアのハッカーグループが提供したサービス:「カスタムランサムウェアウイルス、1つ0.5BTC。ランサムウェアの送信先となるBTCアドレスと支払までの期間をメールで通知すること。好みの仕様に合わせてCTBロッカーウイルスをカスタマイズして提供」(MaAfee提供)
別の作者が提供したランサムウェア:「パネルでカスタマイズ可能なランサムウェア。コントロールパネルでカスタマイズ可能なランサムウェアを販売、英語のインストールガイド付き」 なお、この広告のマーケットプレースデータによると、このパッケージの売上は4月以降16倍に増えており、平均価格は約34米ドルだった。(MaAfee提供)
Multilockerの例:「カスタマイズ可能なMULTILOCKERランサムウェア。独自のスキームを作成できるMultilockerランサムウェアパッケージ。パネルレンディングは多言語対応で、完全にメッセージと身代金支払いをカスタマイズ可能。パッケージの内容:*Multilockerパネル(.php)、*Multilocker ビルダー(.exe)。世界中から身代金を獲得しよう」 “Let’s kidnap the planet!”の表現が、作者の野心を表している。(MaAfee提供)
Mcafeeは、これらのケースは今日のランサムウェアの潜在性を垣間見ているにすぎないとしている。