サービスとしてのランサムウェア(RaaS)とは

サービスとしてのランサムウェア(RaaS)は、ランサムウェアオペレーターとアフィリエイトの間のビジネスモデルであり、オペレーターが開発したランサムウェア攻撃をアフィリエイトが金銭を支払って利用します。RaaSは、サービスとしてのソフトウェア(SaaS)ビジネスモデルのバリエーションと考えることができます。

RaaSキットを使用することで、独自のランサムウェア亜種を開発するスキルや時間が不足しているアフィリエイトであっても、コストをかけずに迅速に活動できるようになります。こうしたキットはダークウェブ上で簡単に見つかり、正規のウェブで商品が宣伝されているのと同じように宣伝されています。

RaaSキットには、正規のSaaSプロバイダーが提供するのと同じ24時間365日のサポート、バンドルオファー、ユーザーレビュー、フォーラム、その他の機能が含まれる場合があります。RaaSキットの価格は月額40ドルから数千ドルの範囲で、これは、2021年の平均の身代金の要求が600万ドルであったことを考えると些細な金額です。脅威アクターは、大金を稼ぐためにすべての攻撃を成功させる必要はありません。

RaaSモデルの仕組み

次の表は、RaaSモデルでオペレーターとアフィリエイトが果たす役割の概要を示しています。

RaaSオペレーターRaaSアフィリエイト
フォーラムでアフィリエイトを募集する金銭を支払ってランサムウェアを使用する
受け取った身代金ごとのサービス料金に同意する
「独自のランサムウェアパッケージを構築」
パネルへのアクセスを提供する
アフィリエイトがパッケージを追跡できるように
専用の「コマンドとコントロール」ダッシュボードを作成する
標的を絞る
身代金の要求を設定する
侵害後のユーザーメッセージを設定する
被害者のアセットを侵害する
「自給自足」手法で感染を
最大化する
ランサムウェアを実行する
被害者支払いポータルをセットアップする
アフィリエイトが被害者と交渉するのを「支援」する
チャットポータルまたはその他の通信
チャネル経由で被害者とやり取りする
専用リークサイトを管理する暗号化解除キーを管理する

4つの一般的なRaaS収益モデル

1. 定額料金の月次サブスクリプション

2. アフィリエイトプログラム。月額料金モデルと同じですが、ランサムウェア開発者に利益の一部(通常は20~30%)が分配されます。

3. 利益の分配がない、1回限りのライセンス料

4. 純粋な利益分配

最も洗練されたRaaSオペレーターは、感染のステータス、総支払い額、暗号化されたファイルの総数、および標的に関するその他の情報をサブスクライバーが確認できるポータルを提供しています。アフィリエイトは、RaaSポータルにログインし、アカウントを作成し、Bitcoinで支払い、作成するマルウェアの種類の詳細を入力し、送信ボタンをクリックするだけです。サブスクライバーは、正規のSaaS製品のサブスクライバーが受けるのと同じサポート、コミュニティ、ドキュメント、機能の更新、およびその他の特典にアクセスできる場合があります。

RaaSは競争の激しい市場です。RaaSポータルに加えて、RaaSオペレーターは、マーケティングキャンペーンを実施するほか、一般の企業のキャンペーンやウェブサイトとまったく同じようなウェブサイトを保有しています。また、動画やホワイトペーパーを準備し、Twitter上で活発に活動しています。RaaSはビジネスであり、大規模なビジネスになっています。2020年のランサムウェアの総収益は、前年の115億ドルから約200億ドルに増加しました。

RaaSキットの有名な例には、Locky、Goliath、Shark、Stampado、Encryptor、Jokerooなどがありますが、ほかにも数多くあります。RaaSオペレーターは、定期的に姿を消し、再編成し、より新しく優れたランサムウェアの亜種を抱えて再び現れます。