この同盟は、法執行機関からの圧力が高まる中、攻撃の調整とリソースの共有を目指している。
最も悪名高いランサムウェア・アズ・ア・サービス(RaaS)オペレーションの3つが、攻撃の調整とリソースの共有を目的とした犯罪カルテルを結成した。彼らは、ランサムウェアビジネスの環境がますます「困難」になっていると表現している。
DragonForce、Qilin、LockBitは9月初旬に提携を発表した。ReliaQuestのレポートによると、DragonForceはLockBitがLockBit 5.0ランサムウェアの新バージョンで再登場した直後に、この協力を提案したという。
「平等な競争条件を作り、争いも公の侮辱もなくしましょう」とDragonForceはダークウェブフォーラムへの投稿で述べている(ロシア語からの翻訳)。「そうすれば皆で収入を増やし、市場の条件を操作できます。呼び方は何でもいい―連合、カルテルなど。重要なのは連絡を取り合い、お互いに友好的で、強い同盟者でいること、敵にならないことです。」
LockBitは「まったく同感です。あなたに悪いことは望みません。人が私にどうするかによって、私も人にどうするか決めます」と、サイバーセキュリティ企業ReliaQuestが確認したやり取りの中で述べている。
その後、DragonForceはこの連合を発表し、他のランサムウェア運営者にも参加を呼びかけた。「Qilin、LockBit、DragonForceの連合は、我々の努力を結集し、協力して方向性を開発しています」とReliaQuestはレポートで述べ、DragonForceの投稿のスクリーンショットを示している。
法執行機関の圧力が統合を促進
この同盟は、ランサムウェア運営者が法執行機関による妨害の圧力に直面している中で結成された。2024年2月、国際当局はLockBitのインフラを押収し、メンバーを逮捕、グループのリーダーとされる人物に逮捕状を出し、かつて支配的だった運営へのアフィリエイトの信頼を大きく損なった。
「この同盟は、昨年の摘発後に失墜したLockBitのアフィリエイト間での評判を回復させる助けとなり、重要インフラへの攻撃の急増や、これまで低リスクと考えられていた分野への脅威拡大を引き起こす可能性があります」とReliaQuestの脅威リサーチャー、ヘイデン・エヴァンス氏はレポートで述べている。
今週初め、Qilinは日本のアサヒグループへのハッキングの犯行声明を出した。
レポートによると、この提携により3グループ間で技術、リソース、インフラの共有が促進されるとみられる。2020年には、LockBitがMazeランサムウェアグループと提携し、システムの暗号化とデータ窃取を組み合わせた「二重脅迫」戦術を導入したとレポートは指摘している。
ReliaQuestによれば、現時点で3グループ間の積極的な協力を示す攻撃や、新たな合同リークサイトは確認されていない。各グループは引き続き個別に攻撃の犯行声明を出している。
重要インフラも攻撃対象に
LockBitの復活発表の一環として、同グループはこれまで攻撃対象外とされていた重要インフラ分野もアフィリエイトによる攻撃が許可されることを明らかにした。「原子力発電所、火力発電所、水力発電所などの重要インフラ組織への攻撃が許可されます」とグループはレポートによれば述べている。
この許可には法執行機関への挑戦も含まれている。「これらの許可は、FBIとLockBitの間で特定のターゲットカテゴリーへの攻撃を行わないという合意が成立するまで有効です。もしあなたがこれを読んでいて、これらのルールが変わっていなければ、FBIはまだこの合意のために我々に接触しておらず、上記の組織への攻撃許可に十分満足しているということです。」
この動きは、2021年5月のColonial Pipeline攻撃(DarkSideグループによる)以降、ランサムウェア運営を規定してきた非公式ルールからの大きな逸脱を示しているとレポートは述べている。この攻撃は厳しい法執行機関の監視を招き、グループの最終的な解散につながった。
FBIはコメントの要請にすぐには応じなかった。
英語圏犯罪者による並行した連合
DragonForce-Qilin-LockBitカルテルは、主に英語圏のサイバー犯罪集団による同様の統合パターンに続くものだ。Scattered Spider、ShinyHunters、Lapsus$は「Scattered Lapsus$ Hunters」という名の下で協力を開始し、10月にはSalesforce環境が侵害されたとされる39社をリストアップしたデータリークサイトを立ち上げたとレポートは伝えている。
8月下旬、Scattered Spiderは独自のランサムウェア・アズ・ア・サービス「ShinySp1d3r RaaS」を立ち上げる計画を発表し、「史上最高のRaaSになる」と主張したとレポートは述べている。
統合の一方で過去最多の分裂
こうしたカルテルの形成は、より広範なランサムウェアエコシステムで過去最多の分裂が進む中で起きている。2025年第3四半期には、アクティブなデータリークサイトの数が過去最高の81件に達し、大手運営が妨害された隙間を小規模グループが埋めているとレポートは述べている。
ReliaQuestは、組織がリモートデスクトッププロトコル(RDP)やVPNへのアクセスをデバイスベースの証明書で制限し、盗まれた認証情報を使った攻撃者をブロックすることを推奨している。「ランサムウェアのアフィリエイトは、単にRDPやVPNに認証することでアクセスを得るケースが増えている」とレポートは述べている。
LockBitのアフィリエイトによって明示的に標的とされるようになった重要インフラ組織に対して、ReliaQuestはパデュー・モデルを用いたネットワーク分割の実施を推奨している。これはITとOT(運用技術)システム間に厳格なアクセス制御とファイアウォールを設けた独立したセキュリティゾーンを構築するものだ。「これにより、ランサムウェアがネットワーク間で拡散するのを防ぎ、攻撃の影響を軽減できます」とレポートは述べている。
