3つの恐喝グループがランサムウェア「カルテル」で手を組む

出典：Moviestore Collection Ltd（Alamy Stock Photo経由）

ランサムウェアおよびデータ恐喝の分野で名の知れた3つのグループが、最近カルテル型の連携を発表しましたが、それがどのような影響をもたらすかは不明です。

LockBitは最も著名なランサムウェア・アズ・ア・サービス（RaaS）運営の1つで、昨年、英国警察主導の国際的な摘発によって大きな打撃を受けました。この協調行動にはインフラの押収、制裁、LockBitのデータ漏洩サイトを転用した名前晒しキャンペーン、リーダーの身元暴露、そして複数の逮捕が含まれていました。

Qilinはランサムウェア分野で比較的大きな存在で、最近では日本の大手ビールメーカー・アサヒを攻撃しました。DragonForceは比較的新しいグループで、アフィリエイトが自分たちのブランドでランサムウェアを配布できるホワイトラベル型RaaS製品で知られています。

セキュリティベンダーのReliaQuestは本日、「2025年第3四半期のランサムウェアとサイバー恐喝」脅威インテリジェンスレポートを公開しました。このレポートには様々な発見（たとえばScattered SpiderがRaaS提供を計画していることなど）が含まれていますが、特に興味深いのはLockBit、Qilin、DragonForceの協力に関する内容です。

LockBitによる新たなカルテル戦略

DragonForceは自らのリークサイトで、QilinおよびLockBitと「連合」を結成し、グループの努力を結集し「協力して我々の方向性を発展させる」と発表しました。さらに協力者たちは、「我々の困難な分野の未来を気にかける」他のパートナーにも参加を呼びかけました。

ReliaQuestは、3グループ全てにとって今回の協力が技術・リソース・インフラの共有を促進し、各運営の個々の能力を強化する可能性があると指摘しています。

「過去にも同様のパートナーシップが大きな変化をもたらしました。たとえば2020年、LockBitがMazeランサムウェアグループと手を組んだ際には、システム暗号化とデータ窃取を組み合わせて被害者への圧力を高める二重恐喝戦術が導入され、Mazeのデータ漏洩サイトを活用して影響力を増大させました」と研究者らは述べています。

LockBitにとっては、昨年の摘発後にサイバーアンダーグラウンドでの悪名高いグループの評判を回復する助けとなる可能性があります。この連合は、最近開始されたLockBit 5.0アフィリエイトサービスや、LockBitが重要インフラ組織を標的にし始めるというニュースに続くものです。後者は特に驚きであり、多くの脅威アクターは法執行機関の標的になるリスクから重要インフラを避ける傾向にあります。しかし、LockBitは攻撃の成功について嘘をついたり、少なくとも誇張したりすることで知られているため、この意図がどう実現するかは今後の推移を見守る必要があります。

防御側への教訓

防御側や組織にとっての主な懸念は、3つの大規模ランサムウェア運営による新たな連合が、二重恐喝攻撃のような攻撃者側のイノベーションにつながるかどうかです。

一方で、カルテルの形成がQilinやDragonForceにとって裏目に出る可能性も指摘できます。GuidePoint Securityのプリンシパル脅威インテリジェンスコンサルタントであるJustin Timothy氏は、特にDragonForceのような小規模かつ新興の運営にとってそうなり得ると述べています。

「この『カルテル』は、DragonForceの能力を強化するどころか、むしろ積極的に害を及ぼす可能性があります」と彼は言います。「LockBitの運営者Dmitry Yuryevich Khoroshevに対する法執行機関の摘発とその後の制裁により、米国のいかなる組織もLockBitグループへの支払いが違法となりました。もしDragonForceがLockBitを吸収したと主張するなら、DragonForceへの支払いの一部がLockBitに渡ると見なされ、制裁対象への支払いとなり違法となります。これにより米国の被害者はもはや身代金を支払えなくなり、彼らの収益に大きな打撃を与えるでしょう。」

LockBit／Qilin／DragonForceの協力関係は新しいものであり、今後の展開次第ですが、現時点ではランサムウェア対策のベストプラクティスが引き続き有効です。信頼できるエンドポイントセキュリティ製品を使用し、高リスクの脆弱性に対するパッチを常に最新に保つことが重要です。

より具体的には、ReliaQuestは、盗まれたVPN認証情報を使った攻撃者をブロックするためにデバイスベースの証明書を使用し、リモートデスクトッププロトコル（RDP）アクセスを必要最小限のアカウントとホストに限定し、VPNなどの人気攻撃ベクトルにおける公開脆弱性のパッチ適用を優先することを推奨しています。