piyolog

piyokangoの備忘録です。セキュリティの出来事を中心にまとめています。このサイトはGoogle Analyticsを利用しています。

日本も情報提供した米国のランサムウエア攻撃者の起訴についてまとめてみた

2023年5月16日(現地時間)、米国司法省が3種のランサムウエアを用いて米国内の医療機関をはじめとした複数の分野に対して攻撃を行ったとして、ロシア国籍の男を起訴したことを公表しました。また日本の警察庁も捜査協力を行ったことが報じられています。ここでは関連する情報をまとめます。

ランサムウエアの展開に関わっていた男を起訴

  • ワシントンDC、ニュージャージー州地区より起訴*1 *2されたのはWazawaka、m1x、Boriselcin、Uhodiransomwarというハンドルネームを使用していたロシア国籍の30歳の男で、Lockbit、Babuk、Hiveの3種類のランサムウエアを使用したアフィリエイトとして主に活動に参加していた疑い(Babukは開発も関わっていた疑い)がある。次の表は起訴状に記載されていた被害組織の事例。男はランサムウエアの展開だけでなく、被害組織に対して身代金要求を行っており、これら3つのランサムウエアによる一連の要求総額は約4億ドルに及ぶとしている。男に対しては、身代金要求や保護されたシステム損害への共謀、および保護されたシステムへ意図的な損傷に係る罪で起訴されており、有罪となった場合は20年以上の懲役刑が科せられる。
  • 男はFBIによって指名手配を受けており、米国国務省は逮捕や有罪判決につながる情報に対して最大1000万ドルの賞金を出すと発表している。

〇 Lockbitに関連する起訴状に記載された事案

発生日 対象の被害組織等
2020年6月25日頃 ニュージャージー州パセーイク郡の法執行機関に対してLockbitを展開した疑い。
2020年8月30日頃 カンザス州ジョンソン郡の企業に対してLockbitを展開した疑い。
2020年9月14日頃 ミネソタ州ダコタ郡(ニュージャージー州にシステム配備)の企業に対してLockbitを展開し、恐喝を行った疑い。
2020年9月23日頃 カリフォルニア州アラメダ郡の企業に対してLockbitを展開し、恐喝を行った疑い。

〇 Babukに関連する起訴状に記載された事案

発生日 対象の被害組織等
2020年12月30日頃 イタリア トリノの企業に対してBabukを展開した疑い。
2021年1月4日頃 ニューハンプシャー州ヒルズボロ郡の企業に対してBabukを展開した疑い。
2021年3月10日頃 オレゴン州ワシントン郡の企業に対してBabukを展開し、l恐喝や身代金の交渉を行った疑い。
2021年4月26日頃 ワシントンDCの警視庁に対してBabukを展開し、恐喝を行った疑い。

〇 Hiveに関連する起訴状に記載された事案

発生日 対象の被害組織等
2022年5月27日頃 ニュージャージー州マーサー郡に本部を置く非営利の行動医療団体に対してHiveを配備した疑い。
2022年5月27日頃 ニュージャージー州サマーセット郡の企業に対してHiveを配備し、恐喝を行った疑い。
  • 米国司法省が説明する3つのランサムウエアの概況については以下の通り。またいずれのランサムウエアの攻撃者も、①組織への不正アクセス(自らのハッキング、または資格情報の購入)、②ランサムウエアによる暗号化とデータ窃取、③復号・機密暴露をしないことを引き換えとした恐喝、④支払いの意思がある組織とは金額交渉、⑤もし支払いがない場合はデータ公開 とする手口で攻撃を行っていた。
ランサムウエア 初めて確認された時期 組織への攻撃件数(米国内外) 身代金要求・受領額
Lockbit 2020年1月頃 1,400 件超 1 億ドル超要求/7.5千万ドル超受領
Babuk 2020年12月頃 65件超 4.9千万ドル超要求/最大1.3千 万ドル受領
Hive 2021年6月頃 1,400件超 2億7千万ドル超要求/最大1億2千万ドル受領

Krebs氏が昨年調査記事公開

  • 起訴状にも記載の在ったWazawakaなどのハンドルネームで活動する人物について、セキュリティジャーナリストのKrebs氏が当該人物が使用していた特徴的なパスワードなどを端緒にして2022年1月の時点で男の実名までたどり着いていた。男はExploitなどの複数のフォーラムでDDoS攻撃の販売(1日あたり約80ドル)などを当初行っていたが、その後組織へのアクセス方法や窃取したデータベースアクセスの拡散にシフトしていた。またLockbitを含む少なくとも2つのランサムウエアのアフィリエイトに参加していることも判明しており、半年間でLockbitに支払った手数料は約50万ドルだったと言及していた他、コロニアルパイプラインのランサムウエアアクターのDarksideとも協力したという。さらにその後 RAMPフォーラムの開設者(Orange)であること、Babukランサムウエアのアフィリエイトプログラムの設立を発表した人物(Biba99)でもあることが明らかにされている。*3
  • Krebs氏の調査記事に対し、男はその後にこの内容を認める言及をTwitterを通じて行っており、その際投稿された動画では薬指がない自身の手をWazawakaの証拠であるとして提示していた。(男の左手の薬指がないことについては、FBIの指名手配ページにも同様の記載がある。) *4
  • 男は2022年8月にThe Recordのインタビューにも応じており、ランサムウエアのアフィリエイトプログラム運営に係る話などを答えている。印象に残った攻撃について問われたところ、最長の時間を要したケースとしてカプコンをあげており、同社にはFortinetの脆弱性を使用して侵入しておりBabukの名前の由来は同社が使用していなかった管理者Babakからだったと述べている。*5

日本の捜査機関も情報提供

  • 今回の起訴に際し、日本の警察庁はサイバー特別捜査隊等が捜査した情報をFBIに提供を行っていたことを発表した。ランサムウエアの起訴事案において日本の司法機関が関わったのは今回が初めて。*6 大阪府警が捜査を行っていたカプコンのランサムウエア事案に、2022年5月からサイバー特別捜査隊が参加。その後警視庁の捜査していた東京の別の事案との関連が判明した。*7

piyolog.hatenadiary.jp

  • FBIへ提供した情報はこの2件の事案で使用されたランサムウエアの種類、攻撃発信元のIPアドレスなど攻撃の経路に係る情報。*8
  • 米国司法省のプレスでも日本の警察庁の名前が掲載されており、日本を含む複数の国の司法機関に対して重要な貢献があったとコメントしている。警察庁も提供情報が事案の実態解明に役立ったと説明している。
  • 警察庁が把握した2022年のランサムウエア被害の事例は230件で、この内67件が今回の起訴で名前の挙がった3種類のランサムウエアに該当するものであった。

更新履歴

  • 2023年5月18日 PM 新規作成