« 米国 ホワイトハウス サイバーセキュリティ戦略実施計画 | Main | NIST SP 800-219r1 macOSセキュリティ・コンプライアンス・プロジェクト(mSCP)による自動化された安全な構成のガイダンス »

2023.07.16

米国 スタンフォード大学 ランサムウェア攻撃の背後にある政治的動機の評価

こんにちは、丸山満彦です。

ランサムウェアは身代金狙いということで経済犯罪との関係が言われていますが、政治目的もあるよね。。。という話のようです。データを使ってできるだけ、定量的に分析しようという試みですね。。。

システムを止めるという意味では、政治的目的にも使えるわけですよね。。。たしか、コロニアルパイプライン事件の時も最初は政治目的?と思ったら経済犯罪だったという話だったと思います。。。

もちろん、経済犯罪チームであっても、政治犯からお金で依頼されれば、実行しますからね。。。表の実行犯と、裏の意図をもった依頼者は異なるわけなので、実行犯のアトリビューションを分析しても出てこない問題もあることは理解しておく必要はありますよね。。。もちろん、アトリビューションを特定できるのであれば、した上での話ですが...

 

Stanford

・2023.07.13 New Paper: Assessing Political Motivations Behind Ransomware Attacks

New Paper: Assessing Political Motivations Behind Ransomware Attacks 新しい論文 ランサムウェア攻撃の背後にある政治的動機を評価する
Recent developments suggest possible links between some ransomware groups and the Russian government. We investigate this relationship by creating a dataset of ransomware victims and analyzing leaked communications from a major ransomware group. 最近の動向は、いくつかのランサムウェアグループとロシア政府との間につながりがある可能性を示唆している。我々は、ランサムウェア被害者のデータセットを作成し、主要なランサムウェアグループから流出したコミュニケーションを分析することで、この関係を調査した。
Traditionally, ransomware attacks have been regarded as apolitical criminal activities. However, there is growing speculation about possible ties between Russia-based ransomware groups and the Kremlin. Our working paper aims to assess political motives behind ransomware attacks based on a newly gathered dataset of ransomware victims. Our findings challenge the notion that attack trends from Russia-based ransomware groups can be solely explained by financial motives. 従来、ランサムウェア攻撃は非政治的な犯罪行為とみなされてきた。しかし、ロシアを拠点とするランサムウェアグループとクレムリンとの関係の可能性についての憶測が広がっている。我々のワーキングペーパーは、新たに収集したランサムウェア被害者のデータセットに基づき、ランサムウェア攻撃の背後にある政治的動機を評価することを目的としている。我々の調査結果は、ロシアを拠点とするランサムウェアグループからの攻撃傾向は、金銭的な動機だけで説明できるという考え方に疑問を投げかけるものである。
To construct the dataset, we collected information from 55 dark web leak sites, focusing on victims targeted by "double extortion" attacks. These attacks involve threatening to publish stolen data even after the victim has paid the ransom. The dataset comprises 4,194 victims from 55 ransomware groups, spanning the period from May 1, 2019, to April 30, 2022. データセットを構築するために、我々は55のダークウェブのリークサイトから情報を収集した。これらの攻撃は、被害者が身代金を支払った後でも盗まれたデータを公開すると脅迫するものである。データセットは、2019年5月1日から2022年4月30日までの期間にまたがる、55のランサムウェアグループからの4,194人の被害者で構成されている。
1_20230715181601
Images show the “leak sites” of two dark web ransomware groups, Conti and Grief. Groups post about their victims on these sites as part of the extortion process. We have blurred victims' identifying information to protect their privacy. 画像は2つのダークウェブ・ランサムウェア・グループ、ContiとGriefの「リークサイト」を示す。グループは恐喝プロセスの一環として、これらのサイトに被害者について投稿する。プライバシー保護のため、被害者の識別情報をぼかしている。
Our analysis reveals several notable patterns. First, we observe an increase in the frequency of attacks by Russia-based ransomware groups leading up to elections in several major democracies, with no similar increase in attacks by groups based outside of Russia. Second, companies that withdrew from or suspended operations in Russia following the invasion of Ukraine were more likely to experience ransomware attacks in the months following the invasion, potentially indicating retaliatory motives. Third, we find a decline in the number of daily ransomware attacks after the invasion, which could be attributed to Russia enlisting ransomware operators to support its cyber offensive against Ukraine. 分析の結果、いくつかの顕著なパターンが明らかになった。第一に、ロシアを拠点とするランサムウェアグループによる攻撃の頻度が、いくつかの主要な民主主義国の選挙前に増加することが観察された。第二に、ウクライナ侵攻後、ロシアから撤退した企業やロシアでの事業を停止した企業は、侵攻後の数ヶ月間にランサムウェア攻撃を受ける可能性が高く、これは報復的な動機があった可能性を示している。これは、ロシアがウクライナに対するサイバー攻撃を支援するために、ランサムウェアの運営者を雇ったためと考えられる。
2_20230715181701
Plot presents coefficients & confidence intervals for the effect of being in one of the three months before or after election period (the two weeks around an election) on the number of daily ransomware attacks by Russia-based (black) & other groups (gray) プロットは、選挙期間(選挙前後の2週間)の前後3ヶ月のいずれかであることが、ロシアベース(黒)とその他のグループ(灰色)によるランサムウェアの1日あたりの攻撃回数に及ぼす影響についての係数と信頼区間を示している。
We also analyzed over 60,000 leaked messages from a prominent Russia-based ransomware group called Conti. These communications show that Conti generally operated independently from the Russian state. However, they also reveal connections between Conti leaders and Russian government contacts and show cooperation on at least one state-backed cyber operation. The chats also reveal that group members believe the Russian government provides them and other groups with safe harbor. また、Contiと呼ばれるロシアを拠点とする著名なランサムウェア・グループから流出した6万件を超えるメッセージも分析した。これらのコミュニケーションは、Contiが一般的にロシア国家から独立して活動していたことを示している。しかし、Contiのリーダーとロシア政府の連絡先とのつながりも明らかになり、少なくとも1つの国家が支援するサイバー作戦での協力も示されている。チャットからは、グループのメンバーが、ロシア政府が彼らや他のグループに安全な隠れ家を提供していると信じていることも明らかになった。
Our data are consistent with a model where the Russian government maintains decentralized yet cooperative relations with Russia-based ransomware groups. The government offers safe harbor from prosecution in exchange for plausible deniability for attacks and access to skilled cyber actors. The Kremlin also benefits indirectly as groups primarily target victims in Western countries. Our findings suggest ransomware presents an international security threat in addition to functioning as a form of crime. 我々のデータは、ロシア政府がロシアを拠点とするランサムウェアグループと分散的でありながら協力的な関係を維持しているというモデルと一致している。政府は、攻撃に対するもっともらしい否認権や熟練したサイバー・アクターへのアクセスと引き換えに、訴追からのセーフハーバーを提供している。また、グループは主に西側諸国の被害者をターゲットにしているため、クレムリンも間接的に利益を得ている。我々の調査結果は、ランサムウェアが犯罪の一形態として機能するだけでなく、国際的な安全保障上の脅威をもたらしていることを示唆している。

 

・[PDF

20230715-181915

・[DOCX] 仮訳

 

 

 

 

|

« 米国 ホワイトハウス サイバーセキュリティ戦略実施計画 | Main | NIST SP 800-219r1 macOSセキュリティ・コンプライアンス・プロジェクト(mSCP)による自動化された安全な構成のガイダンス »

Comments

Post a comment



(Not displayed with comment.)


Comments are moderated, and will not appear on this weblog until the author has approved them.



« 米国 ホワイトハウス サイバーセキュリティ戦略実施計画 | Main | NIST SP 800-219r1 macOSセキュリティ・コンプライアンス・プロジェクト(mSCP)による自動化された安全な構成のガイダンス »