ドイツは、最も悪名高いランサムウェアエコシステムの一つの背後にいるとされるオペレーターを公開で特定し、組織的サイバー犯罪に対する世界的な戦いにおける重要な進展を示した。
ドイツ連邦刑事警察局(BKA)は、31歳のロシア国籍者ダニール・マクシモビッチ・シュチュキンを「UNKN」というエイリアスで活動している人物として特定しました。この人物は長年GandCrabおよびREvil ランサムウェアグループと関連付けられています。
広範な調査に基づいた帰属情報は、現代のランサムウェアの風景を再構成した2つの作戦のリーダーシップ構造についての稀有な洞察を提供します。
これらのキャンペーンは、約200万ユーロの身代金支払いを生み出し、運用中断と回復コストを通じて3,500万ユーロ以上の広範な経済的損害を与えたと報告されています。
シュチュキンの疑惑のリーダーシップの下で、GandCrabとその後継者REvil は、現在広く採用されている「二重恐喝」モデルを開拓しました。
このアプローチは、重要なシステムを暗号化して運用を停止させることと、機密データを流出させて追加の脅迫材料として使用することという2つの戦術を組み合わせることで、被害者への圧力を著しく増加させました。
被害者は復号化キーの代金を支払うだけでなく、公開データ漏洩を防ぐために支払いを強制され、攻撃者の成功率を劇的に向上させました。
GandCrab は2018年初頭にランサムウェア・アズ・ア・サービス(RaaS)プラットフォームとして最初に出現し、関連企業が身代金利益の一部と引き換えにマルウェアを展開することを可能にしました。
このスケーラブルなフランチャイズのようなモデルは、サイバー犯罪者の間での採用を加速させました。2019年にGandCrabが20億ドルを超える違法収益を主張して突然シャットダウンされたとき、REvil は同じインフラ、ツール、およびアフィリエイトネットワークの多くを再利用して素早く現れました。
セキュリティ研究者は、REvil を新しい作戦というより、むしろ直接的な進化と広く見なしていました。
REvil は合法的な企業に匹敵する水準の組織化で運営されていました。グループは利益を開発に再投資し、サイバー犯罪エコシステム内の主要機能をアウトソーシングしました。
初期ネットワークアクセスは専門のブローカーから購入されることが多く、金銭の流れはプロの資金洗浄業者によって処理されました。
この労働の分業により、中核開発者は従来のセキュリティツールによる検出を回避するために設計された暗号化技術の改善に集中することができました。
グループは「大物狩り」戦略も採用し、実質的な財政的資源とサイバー保険カバレッジを持つ大規模な企業をターゲットにしていました。
REvil に帰属する最も破壊的なインシデントの1つは、2021年7月4日の週末に、攻撃者が広く使用されているIT管理プラットフォームであるKaseyaを侵害したときに発生しました。
その結果のサプライチェーン攻撃は、世界中で1,500以上のビジネスを混乱させ、サービスプロバイダーをターゲットにするランサムウェアグループがもたらすシステミックリスクを強調しました。
しかし、このハイプロフィールキャンペーンはREvil の最終的な衰退に寄与しました。FBIを含む法執行機関は、グループのインフラに浸透し復号化キーを取得することに成功し、後に被害者に配布されました。
この作戦はREvil の能力を大幅に弱め、ランサムウェアに対する調整された国際的対応の転機を示しました。
シュチュキンの身元特定にもかかわらず、執行上の課題は残ります。ドイツ当局は、彼が現在ロシアのクラスノダルに住んでいると信じており、彼は引き渡しの即座の範囲外に置かれています。
それでも、財政的混乱の努力は続いています。2023年に、米国司法省はシュチュキンによって管理されているとされるウォレットに関連する317,000ドル以上の暗号通貨を押収しました。
「UNKN」の身元特定は、帰属が改善されているが、管轄権の障壁がまだ起訴を妨げている国際的なサイバー犯罪との戦いにおける進歩と限界の両方を強調しています。
翻訳元: https://cyberpress.org/germany-unmasks-alleged-revil-mastermind-unkn-in-cybercrime-crackdown/