更新FBI は、恐喝犯に対するより広範な妨害キャンペーンの一環として、BlackCat および/または AlphV として知られる犯罪集団が使用するランサムウェアの復号ツールを作成しました。
この復号ツールの存在は、米国司法省による火曜日の発表で明らかにされ、FBI が 500 以上の組織にこのツールを提供し、その結果 6,800 万ドルの身代金の支払いが回避されたと考えていると報告されている。
この発表は、BlackCatのダークウェブ拠点の1つが、FBI主導の作戦によりオンライン拠点が閉鎖されたことを示す押収通知で上書きされてから数時間後に行われた。
Torで隠蔽されたこのブログ(通常は新たに感染した被害者のリストを掲載)は、今月初めに一時的にオフラインになった。この障害の原因は不明だが、法執行機関が何らかの形でこのグループの活動を妨害したとみられている。
まさにそれが事実だったようだ。捜索令状申請の裏付けとして提出された公開宣誓供述書[PDF]には、米国当局が「BlackCatランサムウェアグループのネットワークを可視化した」と記されており、同グループのダークウェブ資産に関する広範な情報も入手した。連邦政府は、BlackCatグループが被害者との通信やブログのホスティングに使用していたTor匿名サイトの公開鍵と秘密鍵のペア946件にアクセスできたと述べている。さらに、漏洩データのホスティングに使用されていたサイトや、関連組織がマルウェア感染を仕組むために使用していたコントロールパネルにもアクセスできたという。
言い換えれば、連邦政府はランサムウェア・アズ・ア・サービスのダークウェブ上の拠点を摘発・閉鎖できただけでなく、被害者に復号支援を提供するのに十分な内部情報も入手したようだ。米国司法省は裁判資料の中で、例えば機密情報源を利用してマルウェアの関連会社レベルのコントロールパネルにアクセスし、そこから捜査を行ったと述べている。
FBIがAlphV/BlackCatのダークウェブブログに押収通知を掲載
FBIの作戦は、英国とオーストラリアの警察、そしてユーロポールと連携して実施されました。アルフV号に関する捜査は現在も継続中で、当局は乗組員に関する更なる情報提供者に報奨金を出す可能性があると発表しています。
9つの命
BlackCat はこのキャンペーンを一笑に付した。
ロシア系とみられるこのグループは本日、FBIのサーバーではなく、自らが管理するサーバーに誘導することで、メインのダークウェブサイトを「解除」したと自慢した。グループは復元したブログで、ランサムウェアの新たな被害者とされる人物の名前を公表した。
しかし、AlphVとFBIはどちらもこのメインサイトの.onionアドレスの秘密鍵を保有しており、どちら側もいつでもブログを乗っ取ることができる状態にあると見られています。彼らは一日中、ダークウェブサイトの支配権をめぐって争っていました。
前述の通り、最初の押収は、ランサムウェア集団のダークウェブブログが12月7日に始まり、2日以上続いたまれなダウンタイムの後に、以前の被害者のリストなしで不思議なことに再出現した後に起こった。
脅威情報会社RedSenseの最高研究責任者であるイェリセイ・ボフスラフキー氏は当時、BlackCatの関連会社と初期アクセスブローカーは、この障害は法執行機関による取り締まりによって生じたものだと確信していたと示唆した。
ボフスラフキー氏はさらに、ライバルのランサムウェア組織のリーダーたちも同じ意見を持っていると述べ、BlackCatによる説明が不足していることを指摘した。
- BlackCatランサムウェア犯罪者は被害者の顧客から直接金を脅迫する
- BlackCatは、フィデリティ・ナショナル・ファイナンシャルのランサムウェア脅迫の背後にいると主張
- BlackCatは企業の被害者を誘い込むためにマルバタイジングの罠を仕掛ける
- 大手法律事務所でのデータ漏洩でオーストラリア政府とエリート層が混乱
Emsisoft の脅威アナリスト、ブレット・キャロウ氏は本日The Registerに対し、今回の押収により BlackCat グループは現在の形では終焉を迎える可能性が高いが、新たな姿で復活する可能性が高いと語った。
「代替ドメインは作成されましたが、AlphVの犯罪仲間は、それが法執行機関が設置したハニーポットではないかと疑うでしょう」と彼は予測した。「現実的に考えれば、オペレーションセキュリティの実績を持つ無能な組織と協力し続けたいと思う犯罪者はほとんどいないでしょう。あまりにもリスクが大きすぎるのです。」
「彼らはすでに、捜査当局が作戦中に入手した情報が現実世界での彼らの身元を特定できるかどうかについて懸念しているだろう。
残念ながら、AlphVブランドはこれで終わりになる可能性が高いですが、その背後にいる人々はおそらく新たなブランドを立ち上げるでしょう。唯一の疑問は、彼らが次に何を名乗るのかということです。
英国国家犯罪庁(NCA)の広報担当者は、 The Register宛ての声明で次のように書いている。「ランサムウェアは世界的に最も重大なサイバー脅威であり、AlphV/BlackCatはここ数カ月で英国に影響を与えた最も被害の大きいランサムウェアの1つです。」
「NCAは東部地域特別作戦部隊とともに、過去1年間FBIや他の国際パートナーと緊密に協力し、この犯罪グループの壊滅に貢献する情報を共有してきた。」
私たちは、英国在住のALPHV攻撃の被害者の方々を引き続き支援しており、標的にされたと思われる方は、ぜひご報告ください。ランサムウェアから身を守るためのさらなるサポートとアドバイスは、NCSC.gov.ukでご覧いただけます。®
追加更新
AlphVの旧ドメインは、再びランサムウェアグループが管理するページを指しています。FBIの押収スプラッシュページは表示されなくなり、代わりに同グループの公式声明と、別のドメインでホストされているメインサイトへのリンクが表示されています。
公開された宣誓供述書と一致して、AlphVの声明では、FBIが、ホスティング業者の1人の協力を得て、ハッカー集団のデータセンターの1つを閉鎖したと述べており、これは当局が言及した機密情報源と一致する主張である。
FBIは500人以上の被害者に復号ツールを提供したと主張しているが、このグループもその主張を骨抜きにしている。犯罪者らによると、被害者の数は400人程度だが、復号ツールのキーを入手できていない人は依然として3,000人いるという。
マンディアントによると、ライバルのランサムウェア集団LockBitが参入したという。LockBitは、数週間にわたる内部抗争の最中、地下フォーラムに広告を掲載することでAlphVの関連企業を奪おうとしている。これは、既に支配的な市場シェアをさらに拡大しようとする狙いがあるようだ。
これに対し、AlphVはアフィリエイトが獲得した身代金の90%をアフィリエイト全員が受け取ると発表しました。以前はアフィリエイトへの支払いは80~90%の範囲と考えられていたため、これはアフィリエイトの忠誠心に対する報酬として現金を提供していることを示唆しています。
AlphVはまた、関連組織が標的を選択する方法に関する内部規則をすべて撤廃したと主張し、米国の重要インフラへの攻撃の可能性を開いた。現在、攻撃が禁止されているのは独立国家共同体(CIS)内の標的のみである。
「これはAlphVの短期的なマーケティング戦略かもしれないが、重要インフラを狙った脅威は一般的に、法執行機関や政府から脅威の主体に対して厳しい監視の目を向けさせており、将来的には彼らに対するより積極的な行動につながる可能性がある」と、マンディアントのグーグルクラウドのサイバー犯罪分析責任者キンバリー・グッディ氏は述べた。
