ランサムウェア「最重要指名手配」：警察がBlack Bastaの首謀者を追う

警察は悪名高いBlack Bastaランサムウェア集団のメンバーとみられる2人を家宅捜索し、この作戦の創設者で首謀者だとされるロシア国籍の人物について国際逮捕状を回付した。

「Black Bastaは近年で最も活発なランサムウェア集団の一つだ」と、サイバー犯罪作戦を捜査するドイツ当局は、オランダ、スイス、ウクライナ、英国の法執行機関とともに述べた。

2022年3月から2025年2月まで活動したこの「国境を越えるハッカー集団」は、世界中で600人以上の被害者を生み出し、その多くは西側諸国だった。被害者からの身代金支払いとして数億ドル相当の暗号資産を得る一方で、混乱の痕跡をまき散らした。

Black Bastaには、ウクライナに住む7人の容疑者を含む20人以上が活動メンバーとして関与していたと、ウクライナ検事総長ルスラン・クラフチェンコ氏が木曜日に述べた。

「各参加者には、パスワードのハッキングやコードの作成から、被害者との交渉、違法収益の換金に至るまで、明確な役割があった」と同氏は述べた。

同集団は医療などの重要インフラを標的にしており、米サイバーセキュリティ・インフラストラクチャ安全保障庁（CISA）は2024年11月の警告で明らかにした（参照：流出チャットログが明かすBlack Bastaの「魂の暗夜」）。

ドイツの法執行機関と連携し、ウクライナの警察はイヴァノ＝フランキウシク州とリヴィウ州で、犯罪作戦の一部と疑われるウクライナ人2人の自宅を捜索し、コンピューター、携帯電話、銀行記録、現金、暗号資産を押収した。

デジタル・フォレンジックの捜査官が押収機器を精査している。警察は捜査が継続中だと述べた。

警察は先週、この集団の指導者とみられる人物をロシア国籍のオレグ・エフゲニエヴィチ・ネフェドフ（35）だと公表した。彼は依然として逃走中で、インターポールの国際最重要指名手配リストに掲載された。

ネフェドフの正確な所在は不明だが、ロシア国内のどこかにいる可能性が高いと、法執行情報機関ユーロポールのEU Most Wantedサイトは伝えている。

組織のトップとして「彼は誰を、あるいはどの組織を攻撃対象とするかを決定し、メンバーを勧誘し、任務を割り当て、身代金交渉に参加し、恐喝で得た身代金を管理してグループのメンバーへの支払いに用いた」と、ドイツ連邦刑事庁（BKA）は述べた。

警察によれば、先週拘束されたハッキング集団のウクライナ人メンバー2人は、システムへの侵入と初期アクセスの獲得、身代金目的での機微データの窃取、エンドポイントへのランサムウェア感染に特化していた。その後、グループの別メンバーが被害者との交渉を試み、身代金支払いを迫ったという。

「攻撃者は、いわゆるハッシュクラッカー――専用ソフトウェアを用いて情報システムからアカウントのパスワードを抽出することに特化した人物――の役割を担っていた」と警察は述べた。捜査当局は「違法行為の証拠」を発見した。

ドイツ当局の要請により、ウクライナ警察は昨年8月、同国第2の都市ハルキウ近郊に住むBlack Bastaの別の容疑者の自宅を捜索した。証拠を押収し、容疑者を事情聴取した。「彼は、使用されるマルウェアがアンチウイルスプログラムに検知されないようにする、いわゆる『クリプター』として行動した疑いがある」とドイツ当局は述べた。

スイスの脅威インテリジェンス企業Prodaftは2025年2月の報告で、Black Bastaは内部対立により2024年夏頃から衰退し始め、2025年初頭までに大部分が「非活動」状態になったと述べた。

研究者らは、集団の不安定化はネフェドフの行動に直接起因していたと述べた。また彼を、「QBOT（別名Qakbot）を配布するスパムネットワーク」と結び付けた。Qakbotは2007年頃にバンキング型トロイの木馬として始まり、その後、マルウェア・ダウンローダーなど別目的にも適応されたマルウェアを指す（参照：侵害まとめ：米国がQakbotマルウェア首謀者を起訴）。

研究者らによれば、Black Bastaは初期アクセス獲得のためにスピアフィッシング攻撃を頻繁に用い、多くのケースでこれらの攻撃は、暗号化型マルウェアのダウンロード手段の一部として、エンドポイントにQakbotを感染させようと試みたという（参照：Black Basta流出が浮き彫りにするフィッシングとGoogle乗っ取りのリスク）。

流出したBlack Bastaのチャットメッセージにより、ネフェドフの身元が初めて公に明らかになり、Trump/Tramp、GG、AAといった別名と結び付けられた。「メッセージは、ネフェドフがREvilとContiの活動メンバーであり、ロシアの高位政治関係者およびFSBとGRU機関に保護されていることを示している」と、バラクーダの報告書は述べた。ここでFSBとGRUはそれぞれ、ロシアの主要治安機関と軍事情報機関を指す。

Black Bastaは2022年4月にContiグループから派生した。Contiは同年初め、指導部がロシアのウラジーミル・プーチン大統領によるウクライナへの侵略戦争を公然と支持する決定を下した後、崩壊した。侵攻支持を公にしたことで身代金の支払いが途絶えた。

ドイツ警察は、ネフェドフや他の容疑メンバーに関する関連情報があれば提供するよう市民に呼びかける一方、過去の流出情報はインテリジェンス目的で徹底的に分析済みだと指摘した。「連邦刑事庁は、2025年初頭に公開された『Black Basta leaks』、ならびに2022年初頭に公開された『Conti leaks』『Trickbot leaks』『Trickleaks』を把握している。これらのデータに関連する情報は不要である」と述べた。