Executive Summary

ダークウェブではあらゆるものに値段がついており、ほとんど何でも公然と売買できます。サイバー犯罪で成功するには、何でも屋でなければならないと思われることもありますが、実際には、ほぼすべての犯罪行為には、他のメンバーのネットワークによって提供されるさまざまなツールとサービスが必要です。

サイバー犯罪者のアンダーグラウンドは非常に垂直化されており、脅威アクターは特定の専門分野を専門としています。 この専門知識の分布が、アンダーグラウンド市場のレジリエンスに貢献しています。 麻薬カルテルと同様に、脅威アクターやフォーラムを1つ排除すると、すぐにライバルがその地位に取って代わられます。 その結果、キャンペーンを開始し、コンセプトを超えて最終的な実行と大きな利益を得るには、まずパズルゲームを完成させる必要があります。

背景

過去 20 年間で、 サイバー犯罪者のアンダーグラウンド は、主に東欧の詐欺師によって行われるありふれた電子商取引詐欺を中心に構築された、一握りの分散型掲示板から、現在ダークウェブと呼ばれる非常に複雑なエコシステムへと進化しました。今日、インターネットの影の世界は、さまざまな地理的地域、専門分野、メンバーの経験によって分断されたコミュニティで構成されており、初心者レベルのスクリプトキディと、 台湾のATM強盗 やロシアの銀行へのマルウェア攻撃など、脅威アクターに数千万ドルの損害を与えた信じられないほど高度な攻撃の首謀者の両方をサポートすることができます。

脅威分析

ボットネットの運用は、物事を大局的に捉え、オペレーターが最大の収益性レベルを達成するために必要なすべてのステップの複雑さを説明するための最良の例です。 次の例は、サイバーオペレーションの開始と維持にかかる初期費用と、そのオペレーターの直接的および二次的な財務リターンを示しています。

• バンキング型トロイの木馬ライセンスは、サイバー犯罪キャンペーンの最も高価な要素の1つであり、プロのマルウェア開発者から3,000ドルから5,000ドルで取得できます。
• 次に、銀行の資格情報を傍受するには、ターゲットとなる金融機関ごとにWebインジェクションを個別に取得する必要があり、セットあたり150ドルから1,000ドルの費用がかかる可能性があります。 昨年、カナダの金融機関を標的としたウェブインジェクションのコストは大幅に増加しており、これは価格帯の上位レベルで提供されていましたが、米国の銀行を標的としたマルウェアのコストは横ばいでした。
• オペレーション全体の一貫した可視性を維持し、感染したコンピュータネットワークを制御するには、中国、中東、または東ヨーロッパの非友好的な管轄区域の1つで万全のホスティングが必要です。 犯罪活動に有利なデータセンター内のWebサーバーの月額レンタル料は、通常150ドルから200ドルです。
• 一貫したペイロード配信を確保し、ウイルス対策製品に検出されないようにするには、実行可能ファイルを毎日、非常に大規模な操作の場合は1日に数回「クリーニング」して難読化する必要があります。 このようなサービスは、1つのペイロードの難読化あたり20ドルから50ドルで利用できます。ただし、大量注文の場合は低価格を交渉できます。
• 感染したリソースにリダイレクトされた安定したWebトラフィックまたは電子メールスパムキャンペーンは、悪意のあるペイロードの2つの主要な配信手段です。 感染したWebページに1,000人の疑いを持たない人々を訪問させるには15〜50ドルの費用がかかりますが、プロのスパムオペレーターは、正常に配信された電子メールの100万件につき400ドルを請求します。
• マルウェアが成功裏に植え付けられ、銀行の資格情報が傍受されると、加害者は一連のミュールハンドラーとマネーロンダリング仲介者と協力して、最終的な支払いを受け取る必要があります。 優れた評判を持ち、迅速なターンアラウンドが可能なマネーロンダリング業者は、被害者の口座から送金された各支払いから50〜60%の多額の手数料を請求します。 場合によっては、資金を洗浄し、ビットコイン、Web Money、Western Unionなどの好みの支払い方法でメインオペレーターに資金を届けるために、追加の5〜10%の手数料が必要になることがあります。

ロシア語を話すダークウェブコミュニティでのスパルタ通話サービスの広告。

• 送金を進めるために追加の電話確認が必要な場合は、地下鉄の通話サービスの1つによって促進され、価格は各通話あたり10ドルから15ドルです。
• 送金手続きに追加の書類と電話による確認が必要な場合は、さまざまなサポートベンダーを利用できます。 偽造運転免許証は数時間以内に25ドルで配達されますが、より洗練されたビデオセルフィーは100ドルの費用がかかります。
• アカウント所有者が不正な取引に気付く可能性を最小限に抑えたり、SMSの確認を傍受したり、攻撃中に所有者の電話に完全にアクセスできないようにするために、電子メール/電話の「フラッディング」を20ドルで購入できます。 ただし、クローンSIMカードのコストは150ドルから300ドルと大幅に高くなります。

侵害された銀行口座から盗まれた資金は別として、世界中の被害者の広範なネットワークに永続的にアクセスすると、必然的に多額の残余収入が発生します。

• 攻撃者が直接標的にしていないリソースへのログイン資格情報の検索は、アンダーグラウンドのメンバーに提供でき、セットごとに100ドルから200ドルの追加を取得する可能性があります。 このようなサービスは、商業的および国家的なスパイキャンペーンに従事している可能性が高いニッチバイヤーからの需要があります。
• クレジットカード情報は、ダークウェブマーケットプレイスの1つを介して、1個あたり5ドルから10ドルですぐに販売される可能性があります。
• さまざまな電子商取引の資格情報に対する需要は安定しています。しかし、近年の大規模なアカウント乗っ取りキャンペーンの急増により、利用可能なデータが余剰になり、認証情報のセットごとに価格が1〜5ドルに下がっています。
• 場合によっては、攻撃者が目的の結果を達成できない場合、要求ごとのマルウェアがインストールごとに約 1 ドルで他の犯罪者に提供されることがあります。
• 妥当な保存期間が終了すると、収集された非構造化データで構成されるランダムなボットネットログは、データ1ギガバイトあたり20ドルで簡単に販売できます。

今後の展望

この例では、一般的な攻撃方法を1つだけ取り上げましたが、ランサムウェアやフィッシングキャンペーンなど、他のサイバー犯罪活動を開始するためにも、同様のサポートインフラストラクチャが使用されます。 サイバー攻撃を孤立して活動する一人の個人に起因することはめったにありませんが、成功するためには、攻撃を概念化から利益を得るために複数の分野にわたる専門知識が必要だからです。 そのための手段はすべて代償を払うことができます。コストは、アクターがキャンペーンをどの程度洗練させたいかにかかっています。

ツイッターで @DeepSpaceEye でアンドレイをフォローできます。