法執行機関は、アジア太平洋地域で活動する最も悪名高いサイバー犯罪者の一人を逮捕した。
この合同作戦は、サイバーセキュリティ企業Group-IBの支援のもと、タイ王国警察とシンガポール警察が実施した。容疑者はタイで逮捕された。
Altdos、Desorden、Ghostr、0mid16Bなど複数の別名を使用してきた39歳の男は、世界中で90件以上のデータ恐喝攻撃に関与した疑いがある。
これにはアジア太平洋地域での65件が含まれ、他の標的には英国、米国、カナダ、中東の組織も含まれる。
被害者に支払いを迫る
これらの事件により、13TBを超える個人データがダークウェブで販売された。
攻撃の主な目的は、個人データを含む侵害されたデータベースを流出させ、公開しない見返りとして支払いを要求することだった。
彼は被害者に支払いを迫るためにさまざまな手口を用い、その過程で重大な評判上および金銭的な損害を与えた。これには、侵害についてメディアや個人データ保護当局に通知すること、盗んだデータをダークウェブのフォーラムに公開すること、メールやインスタントメッセージで顧客へ直接通知を送ることが含まれていた。
まれに、被害者のデータベースを暗号化している様子も確認された。
作戦中、タイ王国警察は複数のノートPCや電子機器に加え、データ恐喝活動の収益で購入されたとされる多数の高級品を押収した。
Group-IBのCEOであるドミトリー・ボルコフ氏は次のようにコメントした。「この事件は、サイバー犯罪者の手口が、技術的な攻撃手段だけでなく、強要、脅迫、評判への脅しによっても進化していることを浮き彫りにしている。」
さらに同氏はこう付け加えた。「タイ王国警察とシンガポール警察を支援できたことを誇りに思うとともに、サイバー犯罪者を法の裁きにかけるための彼らの尽力に感謝する。」
アジア太平洋で「最も活発なサイバー犯罪者」の一人
Group-IBはこの人物を「2021年以降、アジア太平洋地域で最も活発なサイバー犯罪者の一人」と評した。
彼は当初Altdosという別名で現れ、主にタイに拠点を置く被害組織を標的にしていた。
その後、活動をタイ国外へ拡大し、人気の高いダークウェブのフォーラムでデータ漏えいを公開し始めた。
「彼は多数の独自のデータ漏えいを保有する者としてデータ漏えいフォーラムで高く評価され、漏えいデータにより高い価格を付けていた」とGroup-IBは記している。
攻撃者は、医療、小売、不動産投資、金融、ホスピタリティ、保険など、幅広い業界の組織を標的にした。
この人物は、研究者や法執行機関が活動を調査する能力を妨げるため、別名を何度も変更した。
被害者を侵害するために、脅威アクターはsqlmapのようなSQLインジェクションツールを利用し、脆弱なリモートデスクトッププロトコル(RDP)サーバーを悪用した。
その後、侵害したサーバーを制御するために、Cobalt Strikeペンテストツールキットのクラック版のビーコンを使用した。
Group-IBは、当該アクターが大規模なラテラルムーブメントを行う様子は確認されず、レンタルしたクラウドサーバーへ迅速にデータを流出させることに注力していたと述べた。
翻訳元: https://www.infosecurity-magazine.com/news/data-extortion-actor-thailand/
