米財務省、ランサムウェア攻撃を助長したとしてVPN・マルウェア提供者を制裁

米財務省の外国資産管理室(OFAC)は、米国内の組織に対するランサムウェア攻撃を助長したとして、個人2名と団体1つを制裁対象に指定しました。

月曜日、OFACはFirst VPN Service(1VPNS)を指定しました。同社はランサムウェア集団にサービスを販売していた仮想プライベートネットワーク(VPN)提供事業者で、管理者のDmytro Rashevskyi氏も併せて対象となりました。

1VPNSは2014年に登場して以来、サイバー犯罪フォーラム上でユーザーの活動記録や身元情報を一切保持せず、法執行機関にも協力しないと宣伝してきました。Rashevskyi氏は、悪用の苦情を理由に本来ならサービス提供を拒否されるはずのインフラ事業者から契約を得るため、「Maksim Sorin」や「Roman Chabanenko」といった偽の身元を使っていたとされています。

今回の制裁は、欧州の法執行機関が5月にFBIボストン支局の協力を得て、フランスとオランダ当局主導の共同作戦「Operation Saffron」の一環として1VPNSのウェブサイトとインフラを摘発したことを受けたものです。

1VPNSに対する捜査は2021年12月に開始され、法執行機関の捜査官はサービスが解体される前にそのインフラに侵入し、ユーザーデータベースを収集していました。

この共同作戦を通じて、当局は27か国にまたがる1VPNS関連のサーバー33台を押収し、管理者を逮捕したほか、世界各地でランサムウェアや詐欺などの悪意ある活動に関与していた数千人のユーザーの身元を明らかにしました。

当時、ユーロポールもこのVPNサービスの名称が、同機関が支援したほぼすべての主要なサイバー犯罪捜査で浮上していたと述べていました。

1VPNSのインフラが関与したランサムウェア攻撃の被害者には、米国の企業、病院、金融サービス会社、地方自治体が含まれていました。

今週、財務省はベラルーシ国籍のYegeniy Vladimirovich Silayev氏についても制裁対象に指定しました。同氏はランサムウェアなどのマルウェアがセキュリティソフトウェアによる検知を回避する手助けとなるツール「クリプター(crypterとも呼ばれる)」を販売しています。

当局の推計によれば、1VPNSおよびSilayev氏のクリプターを利用したランサムウェア攻撃は、米国内の企業や重要インフラ事業者に数十億ドル規模の損失をもたらしたとみられています。

米国務省のThomas Pigott報道官は次のように述べています。「これらの実行者は、身元を隠し、悪意あるソフトウェアを偽装し、検知を回避するためのツールをランサムウェア集団に提供し、米国の重要インフラ事業者に数十億ドル規模の損失をもたらす攻撃を可能にしました」。

「ランサムウェアの実行者だけでなく、彼らの攻撃を可能にしているサービス提供者やツール供給者を標的とすることで、米国とそのパートナー国は、世界中のサイバー犯罪活動を支える広範なネットワークの解体を進めています」

OFACによると、今回の措置は英国の外務・英連邦・開発省(FCDO)と連携して実施されたということです。これらの制裁により、指定された個人・団体が米国の管轄内に保有する資産はすべて凍結され、米国人および米国企業はこれらの当事者との取引を禁止されます。

月曜日には欧州連合(EU)と英国も、欧州各地のサイバー攻撃に関連するハッキング集団のネットワークを調整しているとしてロシアを非難し、ロシアの個人・団体数十件に対して共同で制裁を科しました

攻撃者に先んじて、あらゆる防御層をテストする

セキュリティチームが記録できている攻撃成功事例は54%にとどまり、アラートが上がるのはわずか14%です。残りは環境内を検知されずに通過しています。

Picusのホワイトペーパーでは、侵害・攻撃シミュレーション(BAS)がSIEMやEDRのルールをどのようにテストし、検知漏れによる脅威の見逃しを防ぐかを解説しています。

ホワイトペーパーを入手する

翻訳元: https://www.bleepingcomputer.com/news/security/us-sanctions-vpn-malware-providers-linked-to-ransomware-gangs/

ソース: bleepingcomputer.com