インタビュー サイバー犯罪集団はほぼ神話的な存在となり、セキュリティベンダーはWizard SpiderやVelvet Tempestのような名前を与えています。
彼らはダークウェブの隠れた片隅に潜んでおり(多くの場合、クリアネットのリークサイトを伴っています)、これが一部のインフォセック関係者にこれらの悪党を無敵のような存在として語らせています。しかし、この傾向に賛同していない人も多くいます。
元CISA長官ジェン・イーストリーらは業界に対し、これらのグループの美化をやめ、代わりに「Scrawny Nuisance(痩せこけた厄介者)」や「Evil Ferret(悪いフェレット)」のようなひどい名前を付けるよう呼びかけています。
RSA ConferenceでThe Registerとのインタビュー中、脅威インテリジェンス企業Trellixの副社長ジョン・フォッカーも同じ考えだと述べました。
「業界として何ができるかについて、議論、あるいは健全な会話を起こそうとしています」と彼は述べました。「誰もが脅威アクターを神聖視していますが、それは顧客や組織の役に立ちません。これらはただの個人です。コンピュータを使っているだけで、あなたのデータを盗んでお金を稼ぎたいだけです。彼らは神話的な存在ではありません。超人的な力を持っていません。」
これらはただの個人です。コンピュータを使っているだけで、あなたのデータを盗んでお金を稼ぎたいだけです。彼らは神話的な存在ではありません。超人的な力を持っていません
そのため、脅威検出・対応企業Trellixのチームは犯罪の地下世界をカバーするための「ほぼ心理作戦」的なアプローチを採用することに決めました。「彼らを神聖視したくない。その反対は何ができるか?彼らを徹底的に批判するんです。」
こうして、Dark Web Roastが誕生しました。これはミーム、嘲笑、リッキー・ジャーベイスの「それはただのジョークだ」という免責事項に基づいた定期ブログです:「これらのインシデントは確かに面白いですが、重大な被害をもたらしている現実の犯罪活動を表しています。このコンテンツは脅威インテリジェンスと教育目的のみです。」
最新号には、身代金要求を実行するための試みをコンテンツ カレンダーのように大量にドラフト化し、スケジュール設定したランサムウェア集団が取り上げられています:「彼らの投稿の圧倒的な量を考えると、被害者は自分たちがコンテンツ用に立ち上げた偽のサイトである可能性が高いです。統計を架空の侵害で水増しするほど正当性を叫ぶものはないですから」と研究者たちは書きました。
cortana9000という名前のエクスプロイト開発者もいます。彼はシスコのリモートコード実行バグ(CVE-2026-20045)を発見しました。それは政府支援のならず者によって積極的に悪用されており、フォーラムで「これはいくらの価値があるのか」と尋ね、別のフォーラムに70,000ドルで掲載しました。
「フォーラムの別のメンバーKlopInkoが、壊滅的なワンライナーで対抗しました:『既知だから、これは1dayエクスプロイトだ』—基本的にcortana9000に、彼の70,000ドルの報酬は彼が口を開いた瞬間から減価し始めたことを伝えました」とこの批判によると。
DarkForumsでパタゴンというハンドルを使う犯罪者もいます。彼はロシアの電力網への完全なドメイン管理者アクセスを中古車より安く売却しようとしました。見かけ上の発見を「多くのレベルで」過小評価しました。
警察がトローリングするとき
フォッカーはLockBitインフラストラクチャの押収と解体(英国の全国犯罪局(NCA)が主導)を、サイバー犯罪者に対する法執行機関の対応における意図的な変化の始まりとして指摘しています。その場合、警察は臭名高いランサムウェア集団をその独自のウェブサイト経由でトローリングし、最終的にLockBitSuppの真の身元を明かしました。
グループのインフラストラクチャを破壊するだけでは不十分です。彼らは単に新しいサーバーとドメインをセットアップできるからです。指摘すべき点として、LockBitはそれを行いました。その後、もぐたたきゲームになります。
「犯罪者は、『OK、このゲームなら一日中できる』と言います。だからそれは本当には機能しません」とフォッカーは述べました。しかし、公開での嘲笑(LockBitの場合のように)、そしてFBIがHiveのランサムウェア ネットワークで行ったような潜入は、サイバー泥棒の間の信頼を損なう可能性があります。そしてこの分裂は、防御者が犯罪活動を解体し、人々とデータを安全に保つのを助けることができます。
「犯罪地下では、ネットワークベース個人ベースです」とフォッカーは述べました。ランサムウェアクルーは初期アクセスブローカーやエクスプロイト開発者と協力して被害者のネットワークに侵入し、マルウェアを作成している開発者がいて、攻撃を実行しているアフィリエイトがいます。
泥棒間の信頼を損なう
「これはまた依存関係を生じさせます」とフォッカーは述べました。「ランサムウェア グループとのパートナーシップにあったグループがあり、それらは侵入していたか、データを盗んでいて、その後、エグジット スキャムか、復号化ツールが機能しなかったため、ビジネス モデルにひびが入ります。」
Trellixは国際警察を長く続いているOperation Endgameで支援し、2025年11月のRhadamanthys情報窃盗ツールテイクダウン中に、当局は自慢げなアニメーション動画をリリースしました。これは作戦中に集められたインテリジェンスのヒントを与え、犯罪組織内の信頼を損なうために設計されました。
動画は、最も価値のある秘密と暗号化通貨キーを個人的な利益のためにスキミングしている管理者を示し、より利益の少ないデータのみを顧客に渡しています。Trellixはこのインシデントについてオランダ警察との概要説明中に学びました。
「彼らは私たちに『この管理者も自分の顧客から盗んでいることがわかりました』と言いました」とフォッカーは覚えています。Europol プレスリリースが出た後、Trellix Dark Web Roastで嫌味たっぷりに公開しました。
「基本的に、彼と一緒に仕事をすれば、お前は馬鹿だと言いました。彼はただお金持ちになっているだけで、私たちは彼を馬鹿にしているだけです」とフォッカーは述べました。「影響が測定可能かどうかはわかりませんが、それでも、その話を実行し、この管理者を完全に笑いものにする機会がありました。だからそれは何かです。」®
翻訳元: https://go.theregister.com/feed/www.theregister.com/2026/04/05/trellix_john_fokker_roasting_crims/
