ロシアのサイバー犯罪者はもはや政府に黙認されているだけでなく、管理されていると、サイバーセキュリティ企業Recorded Futureの新しいレポートが明らかにしています。
ロシアのサイバー犯罪者が同国当局によって妨害されることなく活動できることは長らく知られており、彼らはしばしば国家の情報機関と関係を維持し、情報提供やさまざまなサイバー活動をその代理で行ってきました。
国家、特に情報機関や法執行機関と、ロシアのサイバー犯罪エコシステムとの関係は、2022年のウクライナ侵攻時に強化されました。この出来事は関係性にも変化をもたらし、複数の脅威アクターがクレムリンへの忠誠を誓う一方で、他の者は離反しました。
このような状況の中、Operation Endgameのような国際的な法執行活動は、ボットネット、マルウェアローダー、マネーロンダリングサービス、その他のランサムウェアやマルウェア運用に関連するインフラを標的とし、ロシアにおける国家とサイバー犯罪者の関係にさらなる圧力をかけ、もはやサイバー犯罪者にとって安全な避難所ではなくなっています。
国際的な摘発に対応し、ロシア当局はより攻撃的な姿勢を取り、注目を集める逮捕や押収を行い、サイバー犯罪を商業的事業だけでなく、影響力や情報獲得の手段、そして国家の利益が脅かされた場合の責任ともしています。
「ロシアの機関は有用な場合に人材をリクルートまたは取り込んだり、活動が国家の目的と一致する場合は見て見ぬふりをし、脅威アクターが政治的に不都合または外部から恥となる場合に選択的に法を執行します」と、Recorded FutureはDark Covenantレポートの第3弾で述べています。
「このエコシステムの今後は、ロシア当局が外部からの圧力、国内の政治的感受性、サイバー犯罪プロキシから得られる持続的な戦略的価値のバランスをどう取るかにかかっています」とレポートは述べています。
Recorded Futureによれば、この変化は2023年に起こり、国家が権威を強化しようとする演出された逮捕や公開事例が含まれています。また、ロシアがサイバー犯罪者を地政学的な道具として活用する結果にもなりました。
一方で、脅威アクターは監視を避けるために分散型運用に移行しましたが、ロシアのサイバー犯罪アンダーグラウンドは分裂し、ランサムウェアのアフィリエイトはますます疑心暗鬼になっているとダークウェブのインテリジェンスが明らかにしています。
しかし、流出した通信からは、サイバー犯罪グループとロシア情報機関の間で直接的なタスク調整が行われていることが示されており、ロシア政府とサイバー犯罪者の関係の根本構造は変わらず、国内サイバー犯罪者に対する当局の行動も明らかになっています。
Operation Endgameの摘発により、ロシアの法執行機関はCryptexやUAPSなど、ランサムウェア運用者が利用する主要サービスを標的とし、家宅捜索、大量逮捕、資産押収を実施しました。しかし、これらの行動は主に下位の協力者を標的とし、セキュリティ機関と繋がりを持つ上位運用者は対象外でした。
国家にとって戦略的な価値を持つ脅威アクターにとって、ロシアは依然として「安全な避難所」です。しかし、アンダーグラウンドの行動は変化し、サイバー犯罪者はより厳格な審査を導入し、クローズドなチャネルを採用しています。
ロシア当局によるサイバー犯罪分野への選択的な介入は、コストと利益の計算の結果であるようです。高価値のランサムウェアエコシステムは存続し続ける一方で、現金化インフラは摘発されているとRecorded Futureは指摘しています。
この選択的なパターンは、ContiおよびTrickBotグループに関連する個人に対してロシア当局が何も行動を起こしていないことからも示されています。これらのグループはOperation Endgameで標的となり、Europolの最重要指名手配リストに追加されています。
BlackBastaの流出チャットによれば、サイバー犯罪者はContiおよびTrickbotの上層部がロシア情報機関と繋がりがあることを認識しており、これらのグループ内部の流出チャットもそれを裏付けているようです。さらに、Contiの被害者の中にはロシア情報機関の利益と一致するものもあります。
一方で、Operation EndgameでCryptexとUAPSが妨害され、米国が制裁を発表した直後、ロシア当局は両サービスの捜査を発表し、約100人の逮捕、1,600万ドルの押収、さまざまな車両や不動産の差し押さえを発表しました。
「標的の選択(中核運用者ではなく金融仲介者)と主導機関(治安機関ではなく捜査委員会)は均衡を示しています。外国からの圧力が高く情報価値が低い場合、マネーサービスは切り捨てられますが、サービスとの繋がりが疑われる脅威グループは相対的に保護されます」とRecorded Futureのレポートは述べています。
レポートによれば、ロシアのサイバー犯罪者と治安機関の関係は複数の要因に影響されています。サイバー犯罪者は保護のために金銭を支払い、国家の要請があれば協力する可能性が高く、これは政治的コスト、外部からの圧力、有用性によって左右される相互的な取り決めです。
「脅威アクターがあまりに重要になったり、十分な支援を提供しない場合、治安機関は正当な権限を利用して標的にしたり、被害者を嫌がらせしたりします。このような断続的な法執行は市場の統治として読むべきであり、根絶ではありません」とレポートは述べています。
Operation Endgame開始以降、ダークウェブ上でのランサムウェア・アズ・ア・サービス(RaaS)アフィリエイトプログラムの告知は減少していますが、その間に約12件の新たな運用が現れ、主にロシア語話者のアフィリエイトを好む傾向にあり、英語話者は研究者や法執行機関の可能性が高いため避けられています。
「公開広告の減少と半クローズドなリクルートへの転換は、侵入の懸念や選択的な国内法執行に対する合理的な適応です。運用者は収益エンジンを維持しつつ、露出を減らそうとしています。見出しで取り上げられる圧力にもかかわらず新たなプログラムが継続的に登場していることは、根本的なビジネスが依然として魅力的であることを示していますが、信頼のハードルは高く、文化的な障壁も強まっています」とレポートは述べています。
過去1年間で、Recorded FutureはRaaSメンバーやアフィリエイト間の不信感の高まり、なりすましの出現、さまざまなデータ転売スキーム、法執行機関の行動を受けて運用セキュリティの変更を推奨するアンダーグラウンドチャット、そしてこれらの行動に対応するサイバー犯罪者の適応を観察しています。
