米国司法省(DoJ)は、ランサムウェア運営者と疑われるIanis Aleksandrovich Antropenkoから280万ドル以上の暗号資産を押収したと発表しました。
Antropenkoは、テキサス州でコンピュータ詐欺およびマネーロンダリングの罪で起訴されており、2019年から2022年にかけて活動していた現在は終了した恐喝オペレーション「Zeppelinランサムウェア」と関連付けられています。
デジタル資産の押収に加え、当局は現金7万ドルと高級車も押収しました。
「AntropenkoはZeppelinランサムウェアを使い、米国を含む世界中の個人、企業、組織を標的として攻撃しました」と米司法省の発表は述べています。
「具体的には、Antropenkoと共謀者らは被害者のデータを暗号化・流出させ、通常はデータの復号、公開の抑止、またはデータの削除を引き換えに身代金を要求していました。」
身代金を受け取った後、Antropenkoは2023年3月に当局により押収されたコインタンブリングサービス「ChipMixer」で資金洗浄を試みました。
Antropenkoが使用した他のマネーロンダリング手法には、暗号資産から現金への交換や、銀行の報告規則を回避するために大金を小分けにして入金する「分割入金」などが含まれます。
Zeppelinランサムウェアは、2019年末にVegaLocker/Buranランサムウェアの新たな亜種として登場し、MSPソフトウェアの脆弱性を利用して医療機関やIT企業を標的にしていました。
2021年には、一定期間の活動停止を経て、Zeppelinの運営者がアップデート版とともに再登場しましたが、その後の攻撃で使われた暗号化方式はずさんさが指摘されました。
2022年11月までに、Zeppelinのオペレーションは事実上終了しました。この時、Unit221bのセキュリティ研究者が2020年初頭から被害者が無料でファイルを復号できる鍵を保持していたことが明らかになりました。
2024年1月には、Zeppelinランサムウェアのソースコードがハッキングフォーラムでわずか500ドルで販売されたというニュースが報じられました。
Antropenkoに対する起訴状は、サイバー犯罪活動が停止した後であっても、証拠によってランサムウェア運営者の身元を明らかにできることを示しています。
身代金の収益とみられる280万ドルの押収は、最近米国当局が発表した他の類似の措置、例えばBlackSuitランサムウェアから100万ドル相当の暗号資産や、Chaosランサムウェアから240万ドル相当のビットコインの押収に続くものです。
犯罪収益の押収は、特に逮捕が行われない場合において、ランサムウェア対策において重要です。なぜなら、運営者や協力者がこれらの資金を使ってインフラを再構築したり、新たなメンバーを勧誘したりするのを防ぐためです。
