ユーロポール、ランサムウェア攻撃の首謀者逮捕で作戦を終了

国際法執行機関の捜査官らは、4年以上にわたり大規模なサイバー犯罪グループを追跡し、注目を集める逮捕者を多数出した。

フランス当局が先頭に立つ合同捜査チーム（JIT）は、世界中で大規模な攻撃に関与したランサムウェア集団を壊滅させるために2019年に結成された。

ユーロポールは本日このニュースを発表し、32歳の同グループのリーダーと「最も活動的な共犯者」4人を含む5人が逮捕されたと述べた。

11月21日、ウクライナのキエフ、チェルカースィ、リウネ、ヴィーンヌィツャの各州で30軒の住宅が家宅捜索された。ユーロポールのオランダ本部にも仮想指揮所が設置され、家宅捜索で得られたデータが「即時」分析された。

ウクライナ国家警察がサイバー犯罪者を捜索するため、家宅捜索を実施。画像はユーロポール提供。

ウクライナ国家警察はサイバー犯罪者を捜索するため、家宅捜索を行っている。画像提供：ユーロポール

ユーロポールは本日のプレスリリースで、今回の逮捕により同グループの「解体」が実現したと発表した。

しかし、広報担当者はレジスター紙に対し、「まだ数人の候補者がいるが、彼らの重要性は低い」と語った。

今回の逮捕は、JITが最初に結成されてから2年後の2021年に行われた12件の逮捕に続くものです。同グループのメンバーはウクライナとスイスで逮捕され、鑑識のために主要な電子機器、現金5万2000ドル、高級車5台が押収されました。

電子機器の押収とその後の分析により、先週逮捕された主要メンバーが特定された。

ユーロポールは、過去2年間にわたりノルウェー当局を積極的に関与させ、装置の分析に「多数の作戦スプリントが組織された」と述べた。

最初の押収からなぜ逮捕までこんなに時間がかかったのかと問われた広報担当者は、サイバー犯罪者を起訴するのに十分な証拠を集めるのに時間がかかるためだとザ・レジスター紙に語った。

「捜査では常にそうであるように、試みるべき戦略がある。これらのメンバーを特定できたかもしれないが、我々は引き続き全体像を把握しているところだ」と彼らは語った。

「鑑識作業を進めると、必ず新たな手がかりが見つかりますが、それは既存の捜査にも繋がる捜査の糸口となります。だからこそ、今回ようやく第二段階の捜査を行うことができたのです。」

押収直後の2022年にウクライナ紛争が勃発したことも、2年間の遅延の一因となった。ユーロポールは、このことが捜査の遅延には全く繋がらなかったと考えているものの、捜査活動の再編成を余儀なくされた。

逮捕された者の氏名は公表されておらず、ランサムウェアグループ自体はLockBit、AlphV/BlackCat、Rhysidaのような行動をとっていません。サイバー犯罪者は豊富な資金力を持ち、複数の異なるランサムウェアを駆使して標的を攻撃していました。

これらには、LockerGoga、MegaCortex、Hive、Dharmaなどが含まれていました。ユーロポールによると、このグループは71カ国の組織に属する250台以上のサーバーを攻撃し、数億ユーロの利益を得ました。

このグループは、他の常習犯グループのようにニックネームで追跡されていないが、歴史上大きな攻撃、おそらく最も有名なのはノルスク・ハイドロのランサムウェア事件に関与している。

同社はまた、2019年の買収により現在はキャップジェミニ・エンジニアリングとなっているフランスのコンサルティング会社アルトランへの攻撃にも関与していた。

広報担当者は、逮捕されたサイバー犯罪者は、彼らが使用したランサムウェアの背後にいる組織の中核メンバーではなかったと述べた。しかし、彼らは別件の捜査で多数の事件に関与していたため、法執行機関の監視下にあった。

メンバーはグループ内でそれぞれ異なる役割を担っていました。被害者のシステムへの侵入を実際に担当する者もいれば、マネーロンダリングなどの分野に特化した者もいました。マネーロンダリングはランサムウェア攻撃の一分野であり、世界各国の当局も厳重な調査を行っています。

ユーロポールは「ネットワークに侵入した犯人らは、ブルートフォース攻撃、SQLインジェクション、悪意のある添付ファイルを添付したフィッシングメールの送信などの手法を使ってユーザー名やパスワードを盗んだ」と述べた。

「ネットワークに侵入した攻撃者は、検知されずにTrickBotマルウェア、Cobalt Strike、PowerShell Empireなどのツールを使用して追加のアクセス権を取得し、ランサムウェア攻撃を開始する前にできるだけ多くのシステムを侵害しました。」®

Table of Contents