2人のサイバー専門家がBlackCatランサムウェアのアフィリエイトだったことを認める

BlackCatランサムウェア集団のアフィリエイトとして副業していた2人のサイバーセキュリティ専門家が、暗号化型マルウェアを用いて米国内の被害者から金銭を脅し取ったとして有罪を認めた。

ジョージア州のライアン・ゴールドバーグ（40）とテキサス州のケビン・マーティン（36）は、医療機関3組織を含む米国企業5社を恐喝する共謀に参加したことを、マイアミの連邦裁判所で認めた。裁判資料によれば、フロリダ州ランド・オレイクス（Land O’Lakes）在住の氏名非公表の第3の共謀者も、すべての攻撃に関与していた疑いがある（参照：BlackCat攻撃の疑いで元サイバー専門家2人が起訴）。

検察は、3人はいずれもサイバーセキュリティサービス企業に勤務しながら、BlackCatのためにハッキングを行っていたと述べた。マーティンと氏名非公表の共謀者はDigitalMintでランサムウェア交渉担当者として働き、ゴールドバーグはSygniaでインシデント対応マネージャーとして雇用されていた。

「これらの被告は、高度なサイバーセキュリティの訓練と経験を利用してランサムウェア攻撃を実行した――まさに彼らが阻止するために働くべき種類の犯罪だ」と、司法省刑事局長のA・タイセン・デュバ司法次官補は述べた。

ゴールドバーグとマーティンは12月18日、フロリダ州南部地区連邦地方裁判所で、起訴状の第1罪状について有罪答弁を行った。罪状は、恐喝により商取引または商取引における物品・商品の移動を妨害、遅延、または影響させる共謀である。

科され得る最高刑は、禁錮20年、仮釈放3年、および最大25万ドル、または犯罪による総利益もしくは損失の2倍の罰金である。両名はまた、犯罪収益に結び付くあらゆる財産を没収することに同意し、さらにそれぞれ324,123.26ドルの没収金銭判決を支払うことにも同意した。

司法取引の一環として、政府は量刑時に起訴状の第2罪状および第3罪状をそれぞれ取り下げることに同意した。これらはそれぞれ、恐喝による商取引への干渉、および保護対象コンピュータへの故意の損害に関するものだった。

裁判所は月曜日に有罪答弁を受理した。2人の量刑言い渡しは2026年3月12日に予定されている。

「ランサムウェアは外国からの脅威に限られない――国内の内側からも生じ得る」と、フロリダ州南部地区の連邦検事ジェイソン・A・レディング・キニョネスは、米国人被告の有罪答弁についてコメントした。

ゴールドバーグとマーティンに対する起訴状は、2023年4月から2023年12月にかけて、複数の標的に対してBlackCat（別名Alphv）ランサムウェアを使用したと両名を訴追している。「3人は、ランサムウェアおよびAlphv BlackCatの恐喝プラットフォームへのアクセスと引き換えに、受け取った身代金の20%をAlphv BlackCatの管理者に支払うことに同意した」と起訴状は述べている。

検察は、被告らは自らの行為がもたらす被害を十分に理解していたはずだと述べた。「3人はいずれもサイバーセキュリティ業界で働いていた――つまり、コンピュータシステムを危害から守るための特別な技能と経験を有しており、その危害には、本件で彼ら自身が被害者に対して行っていた種類の危害も含まれる」と起訴状は述べている。

「ビットコインで約120万ドルを1人の被害者から恐喝することに成功した後、3人はこの身代金の80%の取り分を3等分し、さまざまな手段で資金洗浄した」と起訴状は述べ、被害者がフロリダ州に拠点を置く医療機器メーカーであったことを指摘した。

FBIによれば、6月17日の面談でゴールドバーグは、共謀者の1人から「いくつかの会社を身代金で脅してみないか」と勧誘されたと述べたという。これによりフロリダの医療機器メーカーが身代金を支払い、その後、被告らはミキシングサービスと複数のウォレットを経由させて収益を資金洗浄しようとした。

面談から10日後、ゴールドバーグと妻は、出発の2日前に予約した片道航空券でアトランタからパリへ飛んだ。「FBIは、ゴールドバーグが米国へ戻るために購入した航空便を把握していない」と、同局は9月19日付の宣誓供述書で述べた。

裁判記録によれば、ゴールドバーグは10月7日までに米国へ戻っており、この日、ゴールドバーグとマーティンの双方が罪状認否に臨んだ。釈放されたのはマーティンのみで、保釈金は40万ドルだった。

ゴールドバーグとマーティンの元雇用主はいずれも、被告らの活動を把握していなかったと述べた。

サイバー脅威インテリジェンス企業DigitalMintは火曜日、Information Security Media Groupに対する声明で、「DigitalMintはケビン・タイラー・マーティンの有罪答弁を把握している。当社は、会社の認識、許可、関与なしに行われた彼の行為を強く非難する。彼の行動は、当社の価値観および倫理基準に明確に反する」と述べた。

同社はさらに、「当社は捜査を通じて司法省に全面的に協力しており、この結果を、説明責任に向けた重要な一歩として支持する」と付け加えた。

サイバーセキュリティ企業Sygniaはコメント要請に直ちには応じなかったが、起訴が初めて発表された先月初めの時点で、ゴールドバーグはすでに元従業員だとISMGに伝えていた。「状況を把握した直後に、彼は解雇された。Sygniaは本捜査の対象ではないが、FBIと緊密に連携し続けている」と当時述べていた。

BlackCatのアフィリエイト

FBIによれば、ゴールドバーグ、マーティン、および共謀者は、2021年に活動を開始したロシア語話者のBlackCatランサムウェア運用組織と協力しており、最終的に世界中で500人以上の被害者を生み、身代金として数億ドルを稼いだと述べた。

FBIは2023年12月、BlackCatの一部亜種の被害者向けに復号ツールを公開した。

BlackCatの運営者はソフトウェアを開発し、いわゆるRaaS（ransomware-as-a-service）運用として、審査を通過したアフィリエイトに提供していた。各アフィリエイトは、暗号化型マルウェアの新しいコピーをダウンロードするための、パスワードで保護された非公開パネルにアクセスできる。このマルウェアには、アフィリエイト固有のIDコードが含まれる。被害者が身代金を支払うたびに、運営者は事前に合意した取り分――業界標準では20%または30%――を保持し、残りの暗号資産をアフィリエイトに送金するという取り決めになっている。

ただし、すべてのRaaS運営者がそのような合意を守るわけではない。BlackCatは、運営者が明らかに強欲になり、2024年初頭に出口詐欺を実行し、Change Healthcareの侵害をめぐってUnitedHealth Groupが支払ったとされる2,200万ドルの身代金を、攻撃を実行したアフィリエイトと分配せずに保持したことで終焉を迎えた。