DarkSideやREvilなどのランサムウェア集団は、アフィリエート(パートナー)と契約を交わして必要なツールやサポートを提供し、攻撃を実行させる「サービスとしてのランサムウェア」(RaaS)ビジネスを展開している。攻撃で得た利益は両者で分配する契約だが、突然の消滅で分配金を受け取れなくなったアフィリエートの間にも混乱が生じているらしい。
Mandiantによると、DarkSideが閉鎖された後、闇フォーラムでは、DarkSideの未払いを訴えるアフィリエートが続出した。DarkSideの業務停止は、資金を集めて姿をくらます「出口詐欺」だったのではないかとの憶測も浮上している。
実際、ダークWebに存在する「ハッカー法廷」では、DarkSideがアフィリエート契約に違反したという訴えが多数起こされたとthreatpostは伝えている。「詐欺師が詐欺に遭った場合、あるいはビジネス契約がこじれた場合、たとえハッカーであっても不服を申し立てることができる。泥棒に名誉はなくても『ダークサイド」の行動規範は存在する』(Huntressのセキュリティ研究員ジョン・ハモンド氏)
6月の時点でDarkSideがサービスを再開する形跡はなく、閉鎖されたDarkSideのRaaSプラットフォームから、REvilのサービスに乗り換えたアフィリエートもあったという。そうしたアフィリエートは、REvilが姿を消してもまた別のランサムウェアやマルウェアに乗り換えながら、サイバー攻撃を続けるだろうと専門家は予想する。
ランサムウェア集団も、名称を変えるなどしてRaaSビジネスを継続する見通しだ。REvil自体、2019年に廃業を宣言した「GandCrab」という集団のメンバーが関与して立ち上げたランサムウェア集団だった。Mandiantは「今後も数多くの集団が、ランサムウェア稼業を継続するだろう」と予想している。
Copyright © ITmedia, Inc. All Rights Reserved.
Special
PR