出典: the lightwriter via Alamy Stock Photo
内部告発者がTrickbotと悪名高いContiランサムウェアギャングの背後にいるリーダーを暴露したようです。
Contiランサムウェアギャングは、近年、バックアップ機器の供給業者Exagridを含む被害者への大規模な攻撃により悪名を馳せました。Exagridはグループに260万ドルの身代金を支払い、コスタリカ政府のいくつかのシステムや、アイルランドの公共医療システムも被害を受けました。
2022年初頭、ロシアがウクライナへの侵攻を開始した直後、グループはロシアへの支持を表明し、米国がロシアの重要インフラを標的にした場合には脅威を与えました。これに加え、米国国務省からの1500万ドルの報奨金や、グループに関連する高プロフィールのリークがグループの解散につながったようですが、元オペレーターたちは犯罪活動を続けていました。
これはそれ自体では驚くことではありません。多くの個々の脅威アクターが複数のグループと協力したり、働いたりしています。しかし、Contiの背後にいるとされる主犯が、他のいくつかの大規模な脅威アクターのオペレーションにも関与しているようです。
Contiギャングの設計者
先月初め、匿名の内部告発者「GangExposed」が、Contiのリーダーを36歳のVitaly Nikolaevich Kovalevと特定するリークを公開しました。彼は2023年に米国財務省によって長年のTrickbotギャングの上級メンバーとして名指しされました。GangExposedはまた、「Stern」という別名で活動するKovalevが、2023年から活動しているランサムウェアギャングRoyalの責任者であると名指ししました。CISAは昨年これを強調しました。
関連記事:ConnectWiseが侵害され、ScreenConnectの顧客が標的に
GangExposedは、Kovalevに関連するとされるリークをXや複数の出版プラットフォームで公開し、個人を特定できる情報、別名、グループメンバーの写真やビデオ、フロント企業、デジタルフットプリントなどを含んでいました。GangExposedは、Kovalevが5億ドル以上の暗号通貨を保有していると主張しています。
ドイツの連邦刑事警察局(BKA)は、先月末にこれらのリークをさらに裏付け、KovalevをTrickbotのオペレーターとして特定しました。
「被告は、Trickbotグループ、別名’Wizard Spider’の創設者であると疑われています」とBKAは述べました。「Trickbotマルウェアに加えて、グループはBazarloader、SystemBC、IcedID、Ryuk、Conti、Diavolなどのマルウェアバリアントを使用しました。」
ドイツ警察は、Trickbotのメンバーが100人以上いると推定しています。
「グループは、ドイツおよび世界中で数十万のシステムに感染させ、違法な活動を通じて数百万ドルを得ています」とBKAは述べました。「被害者には病院、公的機関、企業、当局、個人が含まれています。ドイツだけでも、グループは少なくとも680万ユーロの損害を引き起こしました。」
関連記事:‘Everest Group’がSAPのHRツールを通じてグローバル組織を恐喝
ランサムウェアリークの影響
最新のContiリークは、脅威アクターの個人情報が世界に公開される事例が増えている中に加わります。例えば、LockBitの名前と恥辱キャンペーン、イギリスの法執行機関による“Operation Cronos,”、最近のBlack Bastaチャットログリークなどがあります。
名前と恥辱の使用は注目に値します。なぜなら、多くの脅威アクターは、あるギャングが法執行機関の取り締まりで崩壊した後に複数のグループ間を移動できる一方で、評判の損傷は特にランサムウェア・アズ・ア・サービス(RaaS)グループがアフィリエイトにサービスを販売したい場合には、少し長く残る可能性があります。
セキュリティベンダーSilobreakerの研究部門長であるHannah Baumgaertnerは、GangExposedがライバルの犯罪グループであるか研究者であるかに関わらず、「名前が明らかにされた個人は、法執行機関の行動を恐れて、熱が冷めるまで短期間の休止を取る可能性が高い」とDark Readingに語っています。
彼女はさらに、「しかし、彼らが完全に犯罪活動をやめることは疑わしいです。彼らの活動を一時的に妨げるかもしれませんが、法執行機関の優先事項でなくなったら、新しいビジネスモデルに移行する可能性が高いです。多くの犯罪者は、引き渡し条約がない国に住んでいることも知られており、活動を続けるための安全な避難所を提供しています。」と述べています。
関連記事:LexisNexis、サードパーティデータリークで360K以上の顧客に通知
GangExposedのリークには、アラブ首長国連邦や中国での脅威活動がどのように行われたかに関する具体的な言及が含まれており、これらの国々(米国に引き渡しを行わない)で法執行機関が調査を行う可能性があります。
MDRベンダーExpelの脅威オペレーションディレクターであるJames Shankは、GangExposedがサイバー犯罪者なのか独立した研究者なのかは不明だと述べています。彼は、「犯罪者を妨害するために心理作戦を組み込む」ための調整された正当な努力を広く支持しています。
「’Stern’のような脅威アクターは、長い間、推定される安全のベールの下で活動してきましたが、彼らの被害者は同じ保護を受けていません」とShankは述べています。「サイバーセキュリティはすでに非対称の戦いです。脅威アクターに有利な要因を排除するための選択肢の全範囲を探求することで、妨害の努力を確実にしましょう。」
翻訳元: https://www.darkreading.com/cyberattacks-data-breaches/trickbot-conti-ransomware-operator-unmasked