Akamai はサイバーセキュリティとクラウドコンピューティングを提供することで、オンラインビジネスの力となり、守っています。市場をリードするセキュリティソリューション、優れた脅威インテリジェンス、世界中の運用チームが、あらゆる場所で企業のデータとアプリケーションを多層防御により保護します。Akamai のフルスタック・クラウド・コンピューティング・ソリューションは、世界で最も分散化されたプラットフォームで高いパフォーマンスとコストを実現しています。多くのグローバル企業が、ビジネスの成長に必要な業界最高レベルの信頼性、拡張性、専門知識を提供できる Akamai に信頼を寄せています。
DarkSide ランサムウェアはサーバーやデバイス上のファイルを暗号化し、攻撃者が復号キーと引き換えに身代金を要求できるようにする悪性ソフトウェアの一種(マルウェア)です。DarkSide ランサムウェアのオペレーターは、二重脅迫の戦術で知られています。ファイルを復号するための身代金を要求するだけでなく、機微な情報を窃取して、被害を受けた組織が身代金要求に従わない場合、窃取した情報を公開すると脅します。
DarkSide は Ransomware as a Service(サービスとしてのランサムウェア、RaaS)としても運営されています。これは、ランサムウェアのオペレーターがアフィリエイトと呼ばれる他のサイバー犯罪者にランサムウェアをリースし、身代金の収益から一定割合を得るビジネスモデルです。
An example of a DarkSide ransomware notice that appears on victims’ computer screens
DarkSide ランサムウェアのオペレーターは?
DarkSide ランサムウェアは、世界中で活動するサイバー犯罪組織である DarkSide Hacker Group が運営しています。DarkSide グループは、医療機関や教育機関、政府機関などの非営利組織ではなく、大規模で収益性の高い企業や重要なインフラを標的にすると公に宣言していることで知られています。
DarkSide グループはロシアあるいは東欧の組織であると思われ、国家が支援するグループではなく、営利目的で運営されていると考えられています。DarkSide が使用するコードは REvil ランサムウェアが使用するソフトウェアに似ているため、DarkSide は REvil の分派または関連グループの可能性があると専門家は推測しています。
DarkSide ランサムウェアの歴史
DarkSide ランサムウェアグループは 2020 年 8 月ごろに出現し、知名度の高い標的に対して高度な攻撃を仕掛けました。同グループは、2021 年 11 月に RaaS の提供を開始し、2021 年 3 月にバージョン 2.0 を公開しました。
2021 年 5 月、DarkSide グループは、米国政府の圧力を受けて、その事業と RaaS アフィリエイトプログラムを閉鎖すると発表しました。しかし、セキュリティ専門家は、このグループが単に別の名前でハッキング活動を再編成したに過ぎない可能性を示唆しています。2022 年 4 月、FBI は、BlackCat ランサムウェアに関連する複数の犯罪者が DarkSide に関係しているというアドバイザリ通知をリリースしました。これは、BlackCat ランサムウェア亜種が DarkSide のリブランド版である可能性を示すものです。
DarkSide ランサムウェアはどのように拡散するのか?
DarkSide 亜種は、他の多くのタイプのランサムウェアのようにフィッシングやスピアフィッシングを使用するのではなく、主に Remote Desktop Protocol(リモート・デスクトップ・プロトコル、RDP)を介して Windows や Linux オペレーティングシステムの脆弱性を悪用することで初期アクセスを獲得します。また DarkSide は、脆弱なパスワード、不適切に設定されたファイアウォール、強力な認証制御の欠如を悪用してアクセスを獲得することもあります。
DarkSide ランサムウェアの仕組み
DarkSide の脅威アクターは、ランサムウェアを使用して IT ネットワークにアクセスした後、一連の手順を実行して攻撃の影響を拡大します。
- コマンド & コントロール:DarkSide ランサムウェア攻撃では、通常 Tor 経由でルーティングされ、ポート 443 を通じて実行される RDP クライアントを介したコマンド & コントロールが行われます。また、Cobalt Strike を二次的なメカニズムとして使用することもあります。
- 認証情報の窃盗:攻撃者は権限を昇格させて認証情報を窃取し、ネットワークの他の部分にアクセスできるようにします。
- ファイルの削除:DarkSide ランサムウェアは、コンピューター上のファイルのボリューム・シャドウ・コピーを削除し、被害を受けた組織がこれらのコピーに戻して簡単にアクセスを復元できないようにします。
- 回避:DarkSide の攻撃者は、レジストリキーの削除、イベントログ処理の停止、セキュリティスキャン用ツールの妨害などを含む特定の手順を実行して、検知を回避します。
- 調査:ハッカーは、侵害を受けたネットワーク内でラテラルムーブメント(横方向の移動)を使用して、機微な情報を含む価値の高い標的を特定します。
- 暗号化:DarkSide のハッカーは、環境をマッピングして機微な情報を窃取した後で、ファイルを暗号化します。このランサムウェアコードは、よく知られているバックドアを使用して配布されます。ペイロードには、実行可能ファイル、一意のファイル拡張子、一意の被害者 ID が含まれており、組織が DarkSide の Web サイトで支払いを行うことができるようにしています。これら一意の識別子により、ランサムウェアはシグネチャーベースのシステムによる検知を回避できます。
- 身代金要求メモ:DarkSide は Tor ネットワークを使用して被害者と匿名で通信し、身代金の支払いをビットコインで管理しています。身代金の要求範囲は、20 万ドルから 2,000 万ドルまで多岐にわたります。
DarkSide ランサムウェアによる有名なサイバー攻撃
DarkSide ランサムウェアで最も注目を集めたインシデントは、2021 年 5 月の Colonial Pipeline に対する攻撃です。この攻撃によって大規模な業務停止が引き起こされ、米国東海岸の広大な範囲にわたって燃料不足が発生しました。その他のよく知られたインシデントには、IT マネージド・サービス・プロバイダーの CompuCom、ドイツの化学薬品販売会社 Brenntag、フランスの Toshiba Tec Corp に対する攻撃などがあります。
DarkSide ランサムウェア攻撃の緩和
DarkSide ランサムウェア攻撃の防止には、次を含むマルチレイヤー型のセキュリティアプローチが必要です。
- オペレーティングシステムとソフトウェアの定期的な更新とパッチ適用による脆弱性の修正
- 最新の脅威インテリジェンスに基づいた堅牢なセグメンテーション、ウイルス対策とマルウェア対策ソフトウェア、侵入防止システム(IPS)、その他のサイバーセキュリティツール
- IT ネットワークへのリモートアクセスに使用する多要素認証(MFA)
- 実行可能ファイルを含むメッセージがエンドユーザーに到達しないようにするメールフィルター
- 悪性であることが判明している IP アドレスとの通信を阻止するネットワークフィルター
- デバイス上のランサムウェア感染を検知して排除するエンドポイントセキュリティ
- ユーザーがランサムウェアの兆候を認識できるようにするセキュリティ意識向上トレーニング
- 重要なデータの頻繁なバックアップとオフライン保存による感染の回避
- CIS や MITRE などのサイバーセキュリティ情報組織が示すベストプラクティスの採用
DarkSide コードの除去
DarkSide ランサムウェアの除去には、包括的なインシデント対応計画が必要です。これには、次のような手順が含まれます。
- 感染したシステムを隔離して、マルウェアが他のサーバーやデバイスに拡散しないようにする
- サイバーセキュリティツールを使用してランサムウェアのコンポーネントを特定し、除去する
- 影響を受けた暗号化ファイルをバックアップから復元する
- FBI などの法執行機関に連絡する
FAQ
DarkSide ランサムウェアは、ロシアに拠点を置くと考えられている DarkSide サイバー犯罪グループが運営するマルウェアの一種です。このグループは、大企業の IT 環境に侵入し、価値の高い機微な情報を窃取して、サーバーやコンピューター上のファイルを暗号化します。その後、グループは復号キーの提供と機密ファイルをオンラインで流出させないという約束と引き換えに身代金を要求します。
RaaS は、ランサムウェアの開発者が他のハッカーに自身のコードを使用して攻撃を実行させ、身代金収益の一部を得るサイバー犯罪モデルです。RaaS を使用することで、ランサムウェアの専門知識がほとんどない犯罪者も、高度で利益の出やすい攻撃を実行できます。