本日、米国、英国、オーストラリアは、ランサムウェア集団やその他のサイバー犯罪活動を支援してきたロシアの「弾丸耐性(バレットプルーフ)」ホスティング(BPH)プロバイダーを標的とする制裁を発表した。
BPHプロバイダーは、フィッシング攻撃、マルウェア配信、コマンド&コントロール(C2)オペレーション、不正コンテンツのホスティングなどの悪意ある活動を標的とした妨害努力を妨げるために、サイバー犯罪者にサーバーを貸し出している。被害者からの苦情や法執行機関による削除要請を無視することから、自らを「バレットプルーフ」として売り込んでいる。
米財務省外国資産管理局(OFAC)は、LockBit、BlackSuit、Playを含む複数のランサムウェアグループや各種サイバー犯罪マーケットプレイスにサービスを提供してきたMedia Landと、その関連会社3社(Media Land Technology、Data Center Kirishi、ML Cloud)を指定対象とした。
米当局によると、Media Landのインフラは、米国企業や通信システムを含む重要インフラに対する分散型サービス拒否(DDoS)攻撃にも利用されていた。
今回の制裁は、Media Landの幹部3名も標的としている。すなわち、サイバー犯罪フォーラムで「Yalishanda」という別名を用いて事業を宣伝してきたアレクサンドル・ヴォロソヴィク(Aleksandr Volosovik)、顧客からの支払いを回収していたキリル・ザトロキン(Kirill Zatolokin)、法務問題や財務面を支援していたユリア・パンコワ(Yulia Pankova)である。
英国外務・英連邦・開発省によれば、ヴォロソヴィクはEvil Corp、Black Basta、LockBitを含む複数の悪名高いサイバー犯罪グループとも協力していたという。
OFACはまた、別のBPHサービスプロバイダーであり、7月にすでに制裁対象となっていたAeza Group LLCと、制裁後にAezaがフロント企業として利用していた英国拠点のHypercore Ltd、さらに技術支援を提供していたセルビアおよびウズベキスタンの企業も指定した。
「Media Landのような、いわゆるバレットプルーフ・ホスティングサービスプロバイダーは、米国および同盟国の企業を攻撃するサイバー犯罪者に不可欠なサービスを提供しています」と、米財務省テロ・金融情報担当次官ジョン・K・ハーリー(John K. Hurley)は述べた。
「サイバー犯罪者たちは、自分たちは闇に紛れて行動し、勤勉な英国民を標的にして生活を破壊しても罰を受けないと考えています。しかしそれは誤りです――我々は同盟国とともに、彼らの暗いネットワークを暴き、責任者を追及していきます」と、英国外相イベット・クーパー(Yvette Cooper)は付け加えた。
本日、ファイブ・アイズのサイバーセキュリティ機関も、バレットプルーフ・ホスティングプロバイダーが提供するインフラを利用したサイバー犯罪活動を、インターネットサービスプロバイダー(ISP)やネットワーク防御担当者が軽減できるようにするための共同ガイダンスを公開した。
彼らは、脅威インテリジェンスフィードを用いて悪意あるインターネットリソースの「高い確度」のリストを作成し、定期的なトラフィック分析を実施し、ネットワーク境界でフィルタリングを行うことを推奨している。同時に、これらの対策が正当なトラフィックに与える影響も考慮するよう求めている。
ISPはまた、悪意あるリソースリストについて顧客に通知し、新規クライアントから検証済みの身元情報を求める「顧客確認(Know Your Customer)」機能を確立することで防御を強化できる。バレットプルーフ・プロバイダーは、一時的なメールアドレスや電話番号を頻繁に切り替えることで知られているためだ。
今回の制裁により、指定された個人および法人のすべての資産は、米国、英国、オーストラリアにおいて凍結され、彼らと取引を行う法人や個人も二次的制裁や法執行措置の対象となる可能性がある。
2月には、3か国はロシア拠点の別のBPHサービスプロバイダーであるZServers/XHostを、LockBitランサムウェア集団に攻撃インフラを提供していたとして制裁対象とし、オランダ警察は127台のサーバーを押収してそのインフラを解体した。
