出典:Cagkan Sayin via Alamy Stock Photo
元ランサムウェア交渉人が今週、2023年に米国企業に対するランサムウェア攻撃を実行するためにランサムウェア行為者BlackCat/ALPHVと共謀した罪で有罪を認めた。
司法省は昨日、BlackCatを撲滅するための継続的なキャンペーンの一環として、この有罪答弁を発表した。BlackCatは、以前病院や大学、および大手企業に対する攻撃の責任を負っていた多産的なランサムウェア行為者である。例えば、関連企業は2024年のChange Healthcareに対する現在では悪名高い攻撃の責任を負っているとされている。現在のところ、BlackCatとして知られるエンティティはほぼ消滅しているが、法執行機関のアクションは続いている。
フロリダ州Land O’Lakes出身の41歳のAngelo Martinoは、2023年4月から開始する組織への恐喝を行うためにBlackCat/ALPHV行為者と協力した。司法省の声明によると、Martinoは米国ベースのサイバーインシデント対応企業での彼の役割を悪用して、サイバー犯罪者を支援した。5人の被害者に代わって働く際に、彼は「クライアントまたはその雇用主の知識または許可なしに、彼の会社のクライアントの交渉位置と戦略に関する機密情報をBlackCat攻撃者に提供した」。
その機密情報には被害者の保険証券限度額と内部交渉位置が含まれており、BlackCatが被害者からの支払いを最大化できるように提供された。BlackCatはMartino氏の協力に対して報酬を支払った。
3人のサイバーセキュリティ専門家が不正行為に走った
Martinoはさらに、ジョージア州のRyan Goldbergとテキサス州のKevin Martinという2人の他のサイバーセキュリティ専門家と共謀したことを認めた。彼らは2023年4月から11月の間に、複数の米国ベースの被害者に対してBlackCatランサムウェアを正常に展開した。「約120万ドルのビットコインで1人の被害者を正常に恐喝した後、この男性たちは身代金のシェアを3つの方法で分割し、様々な手段を通じてこれらの資金をマネーロンダリングした」とDOJは指摘した。
法執行機関は、これまでMartino氏から約1,000万ドルの資産を押収しており、複数の車両(フードトラックと高級ボートなど)およびこのランサムウェア活動の一部として取得したデジタル通貨が含まれている。
Martinoは恐喝罪1件で有罪を認めた。GoldbergとMartinは12月に同じ告発で有罪答弁を行った。Martinoは7月9日に判決を受け、他の者たちは4月30日に判決を受ける。3人全員が20年の禁錮刑の最大刑に直面している。
MartinとMartino氏はDigitalMintに雇用されており、GoldbergはSygnia従業員だった。両企業は法執行機関と十分に協力したと述べた。DigitalMintは以前Dark Readingに、両方の有罪判決を受けた従業員が終了されたこと、およびMartinとMartino氏の行動がその倫理基準に違反したことを述べた。一方、Sygniaはゴールドバーグが独自に行動し、Sygnia顧客は彼の行動の影響を受けなかったと述べた。
Martinoの有罪答弁は、英国のTyler Buchananが3日後に電信詐欺と悪質な身元盗用で有罪を認めた、とDOJによると。彼はテキストベースのフィッシング攻撃を通じて少なくとも12社に侵入する陰謀に関わり、同時に少なくとも800万ドルの仮想通貨を盗んだ。24歳の彼はScattered Spiderと関係があったとされている。
交渉と支払い間の「明確な分離」
インシデント対応企業Cypferのセンザイアンダーダニエル・トボック最高経営責任者およびベテランランサムウェア交渉人は、Dark Readingに、入手可能な情報に基づいて、Martinoはほぼ確実に財務データと支払いプロセスへのアクセスが多すぎて、BlackCatに特定の情報を渡すことができたと述べている。「交渉をしている人と支払いのプロセスの間に分離があるべきだと私は本当に信じています」とTobok氏は言う。
「明確な分離があるとき、異なる人が交渉をして、戦略をして、数字を考え出して、彼らは収益化または恩恵を受けるものを持っていない」と彼は言い、それらの種類のファイアウォールは利益相反と自己取引を減らすのに役立つ。
BeyondTrustのチーフセキュリティアドバイザーであるMorey Haberは、メールで、この事件から不快な重要な点は、保護者であっても、信頼は絶対であるべきではないと述べている。
「ランサムウェア被害者にとって、信頼は常に確認されるべきであり、会社名、肩書き、または単に交渉サービスを宣伝しているウェブサイトによって暗示されるべきではない」とHaberは書く。「ランサムウェア被害者は、インシデントに関する機密データを消費するサードパーティであっても、最小限の特権を実施しながら、交渉(適切な場合)、対応(復旧)、およびフォレンジック(修復)の役割を分離すべきである。」
翻訳元: https://www.darkreading.com/insider-threats/ransomware-negotiator-pleads-guilty-blackcat-scheme
