Dispossessor ランサムウェア グループは、連邦政府が誇らしげに撲滅を主張する中、サイバー犯罪の墓場に入った最新のグループです。
ランサムウェアグループは、被害者のデータを投稿するリークブログを運営するのが一般的ですが、今回のケースも例外ではありません。リークブログは今週まで存在していましたが、グループ名にふさわしいブランド名ではなく、単に「Leaked Data(漏洩データ)」という名前でした。
FBIは「Radar/Dispossessor」グループを摘発したと発表した。このグループについてよく知らない人にとっては、このスラッシュ(/)が疑問を抱かせるかもしれない。これは1つのグループが2つの名前で呼ばれているのではなく、実際には2つのグループが別々のユニットとして活動しているものの、プロジェクト作業を共有しているのだ。
このグループは、「レーダー」と「ディスポセザー」という2つの別々のチームから構成されています。リーダーが最近のインタビューで述べたように、両グループはそれぞれ異なる人物で構成されており、同じ攻撃に取り組んでいます。
連邦当局は、レーダー/ディポセッサー連合が2023年8月に発足したと述べているが、作戦の広報担当者は実際には約3年前に始まったと述べた。
しかし、両グループには確かに隔たりがある。連合のGitHubページによると、DispossessorチームはかつてLockBitの傘下だったが、2月にLockBitが攻撃を受けた直後に独自のランサムウェア活動を開始した。
そのため、多くのサイバーセキュリティ研究者は、このグループを「Dispossessor」としてのみ追跡していますが、FBIはこれを連合名として認めています。
これは比較的小規模なランサムウェア攻撃です。被害者は合計43名のみで、中には1ヶ月でそれ以上の被害に遭ったグループもあります。被害の大部分はヨーロッパや南米の様々な国の中小規模の組織でしたが、インド、UAE、カナダの組織も含まれていました。
ドイツ・バイエルン州警察(BLKA)は、同グループが最近、活動範囲を広げて米国、特に病院や医療機関を標的にする意向を表明したと付け加えた。
「Radar/Dispossessorは、脆弱なコンピュータシステム、脆弱なパスワード、そして二要素認証の欠如を特定し、被害企業を隔離して攻撃しました」とFBIは述べています。「犯罪者はシステムへのアクセスに成功すると、管理者権限を取得し、容易にファイルにアクセスできるようになりました。その後、ランサムウェア自体が暗号化に使用されました。その結果、企業は自社のデータにアクセスできなくなりました。」
企業が攻撃を受けた後、犯罪者に連絡を取らなかった場合、グループはメールや電話を通じて、被害企業の他の従業員に積極的に連絡を取ります。メールには、以前に盗まれたファイルが提示されていた動画プラットフォームへのリンクも含まれていました。これは常に、脅迫の圧力を強め、金銭の支払い意欲を高めることが目的でした。
BKLAによると、この取り締まりの過程で、警察はドイツの4つの企業に対し、ランサムウェア攻撃の危険にさらされていると警告することができたという。発表ではこれらの攻撃が阻止されたとは明言されていないが、控えめな自慢話だったことから、阻止されたと推測される。
当局は、米国(3台)、英国(3台)、ドイツ(18台)の多数のサーバーと、米国ベースのドメイン8つ、ドイツベースのドメイン1つが「解体」されたと述べた。
「ITインフラを掌握することで、ZCB、BLKA、そしてその国際パートナーはサイバー犯罪者に対して大きな打撃を与えることに成功した」とBLKA副社長のグイド・リマー氏は述べた。
「これは、犯人が仮想空間であっても、いつでも捕まり、責任を問われる可能性があることを明確に示しています。サーバーのシャットダウンは、世界中の多くの企業を、存亡の危機に瀕する経済的影響から救うことになるのです。」
サイバー犯罪の摘発が発表されると、誰もが知りたいのは逮捕者が出たかどうかだ。逮捕者が出なければ、摘発が永続的なものになることはまずない。
重要なのは、FBIが逮捕者について言及しなかったことです。逮捕済みの者も、近い将来に予定されている者もです。また、首謀者の身元や居場所についても何も明らかにされていません。ただし、首謀者が「ブレイン」という偽名で活動していることはFBIは把握しています。
しかしBLKAは、この作戦に関与した容疑者の1人に対し逮捕状が出ていると述べた。この容疑者はドイツ在住とみられている。他の11人のメンバーは、ケニア、リトアニア、ロシア、ウクライナ、UAEなど世界各地に散らばっている。
エル・レグは逮捕に関してFBIに問い合わせたが、まだ返答を受け取っていない。
「法執行機関によるDispossessorの摘発は興味深い。彼らは特に影響力のある、あるいは活動的なランサムウェア集団ではないように見えるので、なぜ彼らを追及する必要があるのか」と、WithSecureのシニア脅威インテリジェンスアナリスト、スティーブン・ロビンソン氏は述べた。「彼らが活動を開始した当初は、LockBitの被害者の投稿を単に転載しているだけだと説明されており、FBI自身の声明によると、2023年の開始以来、約40件の攻撃しか実行していないことが分かっている。」
最近、短期間のうちにサイバー犯罪者に対する法執行機関による妨害作戦が数多く実施されています。今回の摘発の目的は、こうした作戦のテンポを維持し、ランサムウェア業界を混乱させ、バランスを崩し続けることにあるのかもしれません。
「彼らは、Dispossessor の作戦に対抗するために彼らを標的にするのではなく、単に犯罪者のオペレーションセキュリティ上のミスを発見し、それを機会に作戦に利用することを決めたのかもしれません。
- オリオンSAは詐欺師に6000万ドルを騙し取られたと発表
- 攻撃者がアリゾナの工科大学にリンクした20万人以上の個人情報を盗む
- 警察は、ビジネスメール詐欺で盗まれた4000万ドルをわずか2日で回収した。
- 信頼経済の破壊:摘発がマルウェア集団に与える影響
「Dispossessorの活動が妨害され、被害者の投稿が停止したとしても、ランサムウェアの被害者総数は劇的に減少することはないだろう。しかし、短期間でさらに攻撃が続けば、サイバー犯罪者はより慎重になり、リスクを意識するようになるだろう。中には業界から撤退する者も出てくるかもしれない。」
Radar/Dispossessor の活動規模が小さいことから、当局は、LockBit のように、グループの評判を失墜させ信用を完全に失墜させることを目的とする新しいスタイルのランサムウェアによる攻撃に時間を浪費することはなかった。
Radar/Dispossessorのリークブログに表示されたスプラッシュページ - クリックして拡大
代わりに、私たちが手に入れたのは、古い削除方法、つまり、グループのリークブログを訪問したときにいつも表示される FBI ブランドのスプラッシュページだけでした。このページでは、サイト管理者に Signal または Tox チャットを通じて他のユーザーを密告するよう促していました。
「最後に連絡を取らないでください」とスプラッシュページには不吉なメッセージが書かれています。®
