サイバー犯罪
ロシアやその他のCIS諸国の組織を攻撃してはならない
ランサムウェアカルテルでさえミスを犯すことはあります。今回はそれがとんでもない失態で、担当した犯罪者がロシアの収容所送りになりかねない内容でした。旧ソビエト連邦諸国(CIS)に所在する企業に、誤って感染させてしまったのです。
脅威ハンターのドミニク・アルビエリ氏が「今日のランサムウェアのアホ」と評したこの事件では、ランサムウェアグループ「RAlord」のアフィリエイトプログラム「Nova」が火曜日、ウズベキスタンに本社を置きモスクワに法人オフィスを構える大手油田サービス会社「エリエルグループ(Eriell Group)」に対し、謝罪文を発表しました。
エリエルグループがNovaに連絡を取り、アフィリエイターのミスについてランサムウェア運営者に通知したとみられています。
そのアフィリエイターはその後、この犯罪組織から追放されたと伝えられています。ランサムウェアギャングは「正式な謝罪」を行うとともに、エリエルグループの復旧作業を「無償で」支援することを約束しました。マルウェアの配布者たちはファイルを暗号化していないと主張し、盗んだデータを漏洩させないことも誓約しています。
「どうやら、ランサムウェアクラブの第一のルール、すなわち独立国家共同体(CIS)の組織を攻撃してはならないというルールは、2026年においても健在なようです」と、Recorded Futureの脅威インテリジェンスアナリスト、アラン・リスカ氏はThe Registerに語りました。
ロシアやその他のCIS諸国においても、サイバー犯罪は法律上は違法とされています。しかし、これらの国の政府は恐喝者やその他の金銭目的の犯罪者、特に国家支援のハッカーとして日中は活動しているような人物に対し、しばしば安全な逃げ場を提供しています。地元警察も、犯罪集団が国内の組織に感染させない限り見て見ぬふりをするのが実情です。
DragonForceカルテル、VanHelsing RaaS(ランサムウェア・アズ・ア・サービス)グループ、悪名高いLockBitの運営者など、一部のグループはメンバーやアフィリエイターがロシアやその他のCIS諸国を標的にすることを明示的に禁止しています。
Novaのアフィリエイターは、しばらくの間、これらのギャング全ての「採用禁止リスト」の上位に名を連ねることになりそうです。
とはいえ、ロシア語話者であれそうでなれ、重大な失態を犯したサイバー犯罪者はこれが初めてではありません。
ランサムウェアクラブの第一のルール:独立国家共同体(CIS)の組織を攻撃してはならない
今年初め、悪名高いデータ漏洩・恐喝グループ「Scattered Lapsus$ Hunters」は、Resecurityのシステムへの「完全なアクセス」を獲得し「すべて」を盗んだと主張しました。しかし実際には、その犯罪グループは脅威インテリジェンスチームのハニーポットに引っかかっており、Resecurityは後に「おめでとう」と祝辞を述べる事態となりました。データ窃盗犯の一人には召喚状が発行されています。
親ロシア系ハクティビスト集団「CyberVolk」は昨年末にランサムウェアサービスを初公開した際に杜撰な対応をしていました。被害者のシステム上のすべてのファイルを暗号化するマスターキーが実行ファイルにハードコードされており、被害者は身代金を支払うことなく暗号化されたデータを復元できてしまいました。
そのミスは被害組織にとって好都合でしたが、Sicariiマルウェア開発者が犯した別のコーディングエラーは、企業によるファイル復元をほぼ不可能にしています。Sicariiの暗号化ツールは実行のたびに新しい暗号鍵ペアを生成しますが、その後プライベートキーを破棄してしまうため、復元可能なマスターキーが存在しないのです。
同様に、Nitrogenランサムウェアのプログラミングミスにより、ギャングの復号ツールでは被害者のファイルを復元できず、身代金を支払っても無意味な状況となっています。
TrellixのVP(脅威インテリジェンス戦略担当)ジョン・フォッカー氏は最近、セキュリティ業界が「脅威アクターを美化する」ことにうんざりし、チームとともに悪者どもをからかうことを決意して「Dark Web Roast」の公開を始めたと話してくれました。
「彼らはただの個人です。コンピューターを使い、データを盗んでお金を稼ごうとしているだけです」とフォッカー氏はThe Registerに語りました。「神話的な存在でも、超能力の持ち主でもありません。」普通の人間と同じく—あるいはスーパーヒーローと同じく—時にはミスを犯し、私たちに皮肉な喜びのひとときを与えてくれるのです。®
