米連邦検察は、身代金要求型ランサムウェア集団にバレットプルーフホスティング(BPH)サービスを提供し、世界中の被害者に6,200万ドル超の損害をもたらしたとして、ロシア国籍の3人を起訴したことを明らかにしました。
BPHプロバイダーは、マルウェア配布、コマンド・アンド・コントロール(C2)運用、フィッシング攻撃、違法コンテンツのホスティングなど、悪質な活動を摘発から守るためのサーバーを貸し出します。被害者からの苦情やその後の法執行機関によるテイクダウン要請を無視することで、自らを「バレットプルーフ(防弾)」であるとアピールしているのです。
Media LandとML.Cloudという2つのBPHサービスは、ロシア国外の中国、フィンランド、オランダ、さらには米国など、複数の国にまたがるインフラも顧客に提供していました。
火曜日に公開された起訴状によると、Aleksandr Volosovik(サイバー犯罪フォーラムでは「Yalishanda」の別名を使用)はMedia Landを所有し、Yulia PankovaはML Cloudを所有して法務・財務面を担当、Kirill Zatolokinは顧客からの支払いを回収していたとされています。
米国務省は現在、リワーズ・フォー・ジャスティス(RFJ)プログラムを通じ、「これらの実行者と関係のある外国政府関連の協力者、その悪質なサイバー活動、あるいは同社を利用する外国政府関連の動きに関する情報」提供者に対し、最大1,000万ドルの報奨金を提供しています。
米国、英国、オーストラリアは以前、Lockbit、Blacksuit、Playを含む複数のランサムウェア・サイバー犯罪組織に攻撃インフラや技術支援を提供したとして、11月にこの3人の被告と2つの企業に対して制裁を科していました。
米財務省外国資産管理局(OFAC)は当時、Media Landのインフラが、通信システムを含む米企業や重要インフラを標的とした分散型サービス拒否(DDoS)攻撃の実行に使われていたと述べていました。
デイビッド・M・テプファー連邦検事は「本件の被害者はオハイオ州だけでなく、全米の他20州にも及んでおり、米国民の生活のあらゆる側面に影響を与えています。被害には銀行、学校、行政機関、病院、メディア企業などが含まれます」と述べています。
「私たちは国際的なパートナーとともに、世界のどこであれコンピューターの陰に隠れ、私たちのコミュニティを支えるインフラを標的にして利益を得たり混乱を引き起こしたりしようとする者たちの活動に対し、断固として対抗していきます」
今週には欧州連合(EU)理事会も、英国と共同で行うロシアに対する初のサイバー制裁パッケージの一環として、Media Land、ML.Cloud、Alexander Volosovikに対する制裁を発表しました。
攻撃者に先んじて、あらゆるレイヤーをテストする
セキュリティチームが記録できている攻撃成功例はわずか54%、アラートが上がるのはたった14%に過ぎません。残りは環境内を検知されないまま通過しています。
Picusのホワイトペーパーでは、侵害・攻撃シミュレーションによってSIEMやEDRのルールをテストし、脅威が検知をすり抜けるのを防ぐ方法を紹介しています。