BlackBastaランサムウェアグループとロシアのホスティング企業Media Landに関連するリークは、防御側がめったに目にできないもの――大規模なランサムウェア作戦の背後にある内部の仕組みと人々――の幕を引きました。
2025年2月、 ExploitWhispers というハンドルネームを名乗る正体不明の人物がTelegramに現れ、Matrixメッセンジャー上でのBlackBasta内部チャットの巨大なアーカイブを公開しました。
JSONファイルとして公開されたこのダンプには、2023年9月18日から2024年9月28日までにやり取りされた約20万件のメッセージが含まれていました。
中には技術的な議論や運用上の詳細だけでなく、実名も含まれており、そのうちの1人は後に制裁リストにも登場することになります。 Kirill Zatolokin――アンダーグラウンドでは 「Slim Shady」 としてよく知られていました。
最初のリークの影響は即座に現れました。非難が飛び交い、関係者が露見し、エコシステム内の派閥が互いに責任をなすりつけ始めました。
そして2025年3月28日、2度目の打撃が加わります。別の匿名の人物が Media Land に紐づくデータベースをリークし、サーバー構成、顧客の購入履歴、ユーザーアカウントデータ、同社の運用に関連する暗号資産アドレスといった内部記録が明らかになりました。
侵害はどのように起きたのか
表向き、Media Landは「正当な」ロシアのホスティングプロバイダーでした。しかし実態として、流出データはアンダーグラウンドの多くがすでに疑っていたことを裏付けました。Media Landは、2009年頃からサイバー犯罪者に中核インフラを供給してきた長年の ブレットプルーフホスティング(BPH)サービス Yalishanda と密接に結びついていたのです。
これにより、捜査当局や規制当局にとって重要な疑問が浮上しました。なぜ登録されたロシア企業が、これほど深くサイバー犯罪インフラに組み込まれているのか?答えは単純で、示唆的でした――それが同社の本当のビジネスモデルだったのです。
リークは、 BlackBasta が自らの作戦の背骨としてMedia Land/Yalishandaに大きく依存していたことを示しました。
専用サーバーや帯域から、サポート、そしてアビューズ耐性に至るまで、Media Landは当時最も活発に活動していたランサムウェア・シンジケートの一つに対し、プレミアムで手厚いサービスを提供する事業者として機能していました。
内部チャットでは、 「Slim Shady」 (Zatolokin)がBlackBastaとホスティングインフラの橋渡し役として振る舞い、速度テストを共有し、数十Gbps規模の帯域使用について議論し、BlackBastaの要求が増すにつれてより高い支払いを交渉している様子が示されていました。
こうした証拠の収束は、規制当局に突破口をもたらしました。2025年11月19日、米財務省外国資産管理局(OFAC)は、オーストラリアおよび英国当局と連携し、 Media Land とその子会社 Data Center Kirishi に対する制裁を発表しました。
名指しされた個人は2人でした。Media Landのゼネラルディレクターであり、Yalishandaの長年の運営者である Aleksandr Volosovik と、サイバー犯罪インフラおよび ランサムウェア作戦 を直接支援した役割により制裁対象となった Kirill Zatolokin です。
これらの名前の背後にある物語は、サイバー犯罪のエコシステムがいかに個人的で、時に混沌としているかを浮き彫りにしています。
法執行機関の盲点
Volosovikは、Yalishandaの主要運営者として2019年の報道で初めて公に 特定 されました。彼は長年にわたり、マルウェア運用者、ランサムウェアのアフィリエイト、初期アクセスブローカーに対応するブレットプルーフホスティングを運営してきました。
かつて中国での仕事を探す求人広告を投稿していたZatolokinは、やがて 「Slim Shady」 という別名のもと、顧客対応の運用者兼インフラ調整役として表面化し、顧客管理、性能問題の解決、そして犯罪インフラを密かに稼働させ続ける役割を担っていました。
リークはまた、舞台裏の資金の配管も暴きました。チャットログと取引の痕跡は、BlackBastaの運用者がランサムウェアの支払いから得た資金をマネーロンダリングのパイプラインに通し、USDTのようなステーブルコインへ価値を移し、その洗浄済み資産をインフラ、SOCKSプロキシ、およびスタッフの給与の支払いに用いていたことを示しています。
BlackBastaと協働するインフラ担当者である lapa に紐づく支払いは、プロキシ調達やサーバー管理といった役割が、単発の場当たり的な取引ではなく、構造化され反復可能な運用の一部として資金供給されていることを浮き彫りにしています。
総合すると、BlackBastaのチャットとMedia Landのデータベースは、現代のロシア語圏ランサムウェア作戦がエンドツーエンドでどのように機能するかを示す、稀有な設計図を形成しています。
そこから見えてくるのは、「正当」なフロント、ブレットプルーフホスティング、大容量帯域の取引、そして犯罪グループと稼働を支えるインフラの間に座る信頼された仲介者たちが、緊密に結びついたネットワークです。
制裁、露見、リークによって、このエコシステムが即座に解体されるわけではありません。VolosovikやZatolokinのような人物は、ドメインをローテーションし、ウォレットを入れ替え、新たなハンドルネームを採用できます。
しかし、これらの開示は防御側、アナリスト、法執行機関にとって非常に価値のあるものを与えます。すなわち、時間をかけて追跡・相関・妨害できる具体的な名前、インフラのパターン、そして資金フローです。
ランサムウェアがビジネスであるなら、インフラは背骨です。これらのリークは、その背骨がどこで接続され、次にどこへ圧力をかけられるのかを正確に示しています。
翻訳元: https://gbhackers.com/ransomware-operation/
