出典:Bob Korn(Alamy Stock Photo経由)
米財務省外国資産管理局(OFAC)は、バレットプルーフホスティング(BPH)サービスプロバイダーであるAeza Groupが、米国および世界中の被害者を標的とした活動を行っているとして制裁を科しました。
さらに、OFACは関連会社2社と、Aeza Groupのリーダーと見られる4名の個人に対しても制裁指定を行いました。また、英国国家犯罪庁(NCA)と連携し、英国に所在するAeza Groupのフロント企業も制裁指定しています。
バレットプルーフホスティングサービスプロバイダーは、犯罪グループにサーバーやコンピューターインフラへのアクセスを販売し、検知や法執行からの回避を支援しています。これにより、違法活動を成功させ、逃れることを可能にしています。
今回の措置は大統領令13694に基づき実施されたもので、OFACがBPHサービスと戦う取り組みの一環です。これには、ロシア拠点のBPHサービスプロバイダーであるZServersを標的とした過去の措置も含まれると、米財務省のプレスリリースで述べられています。
Aeza Groupの違法活動
Aeza Groupは、多くの著名なランサムウェアおよびマルウェアグループと関係があり、これらのグループにサービスを提供し、法執行機関による活動の妨害を回避させてきました。
同グループはロシアのサンクトペテルブルクに本拠を置き、過去にはMedusaやLumma Stealerのインフォスティーラー運営者などにサービスを提供し、BianLianランサムウェア、RedLineインフォスティーラーパネル、違法薬物を扱うロシアのダークネットマーケットプレイスBlackSprutのホスティングも行っていました。
最近、BianLianランサムウェアグループに関係していると主張する人物が、企業の上層幹部に対して恐喝状を送り、ITネットワークが侵害されたことを伝え、機密情報の漏洩をほのめかして脅迫しました。手紙にはビットコインウォレットへの支払い指示と、ウォレットアドレスのQRコードが含まれていました。
また、Lumma Stealerは今年初めにFBIとそのパートナーによる作戦で活動を停止しましたが、その摘発により、同組織が非常に大規模な企業体であり、マルウェアの開発を活発に行っていたことが明らかになりました。毎週74の新ドメインが出現していました。
OFACの指定には、グループに関連するTRON暗号通貨アドレスも含まれており、Aeza Groupがホスティングサービスの外部委託に対する支払いを受け取るために決済プロセッサーを利用していたことを示しています。
「指定されたアドレスは管理用ウォレットとして機能しているようで、決済プロセッサーからの現金化、複数の取引所への資金送金、時にはAezaのサービスへの直接支払いの受け取りも行っている」と、Chainalysisの研究者は述べています。
Aezaの指定には、暗号通貨で35万ドル以上を受け取り、複数の取引所の異なる入金アドレスで現金化されたウォレットも含まれています。これらの入金アドレスは、エスクローサービスやGarantex、インフォスティーラーを販売するダークネットベンダーからも資金を受け取っていました。
ベンダーのウォレットからの定期的な支払いは、Aezaの入金アドレスに送られており、これはAezaのサービス価格に近いことから、そのベンダーがグループの顧客の一人であったことを示しています。
作戦を運営するサイバー犯罪者たち
Aeza Groupに関与する4名は、CEOかつ33%の所有者であるArsenii Aleksandrovich Penzev、ゼネラルディレクターかつ33%の所有者であるYurri Meruzhanovich Bozoyan、技術ディレクターのVladimir Vyacheslavovich Gast、そして33%の所有者であるIgor Anatolyevich Knyazevです。
OFACによれば、GastはAeza Groupの内部ネットワークを担当し、BlackSprutがAeza Groupの構造に追加される際の技術的詳細を監督していました。
PenzevとBozoyanについては、BlackSprutへの関与によりロシア当局に逮捕され、2023年からサービスの調整を開始していました。
「サイバー犯罪者は、Aeza GroupのようなBPHサービスプロバイダーに大きく依存し、破壊的なランサムウェア攻撃を促進し、米国の技術を盗み、ブラックマーケットの薬物を販売し続けている」と、米財務省テロ・金融情報担当代理次官のBradley Smith氏は述べています。「財務省は、英国や他の国際的なパートナーと緊密に連携し、この犯罪エコシステムを支える重要なノード、インフラ、個人を明らかにし続ける決意です。」
グループのウェブサイトは現在ダウンしていますが、依然として正規の事業として登録されており、サイバーセキュリティ保護、ウェブホスティング、ITサービスを提供しているとされています。