長い間、彼らを捕まえることはほとんど不可能だと考えられていました。ランサムウェアで被害者から金銭を搾取するハッカー。REvilに対する警察の捜査の成功は、ランサムウェアとの戦いが見かけほど絶望的ではないことを示している。
実は、ネット経済では「アフィリエイト」がかなり明確に定義されています。アフィリエイト」は、「パートナー」と呼ばれることもありますが、読者やサイト訪問者を「アフィリエイトリンク」を介して広告主のウェブサイトに誘導し、その読者が顧客になった場合に手数料を受け取る宣伝担当者のことです。
アフィリエイトとは、無料の広告パートナーのことで、広告を流すだけでは収入にならず、もっぱらコミッションによって収入を得ることができます。アフィリエイトプログラムの収益性は大きく異なります。特に大規模なウェブサイトにとっては、仕事でお金を稼ぐための絶好のチャンスとなるものもあれば、逆にせいぜい数ペニーしか得られないものもあります。
現在、最も収益性の高いアフィリエイトプログラムは、REvilのようなランサムウェア事業者のものです。ここ数年、ランサムウェアの作者は、自分で他のシステムにマルウェアを仕掛けることはせず、アフィリエイトに頼っています。
これらのアフィリエイトは、ハッカーからソフトウェアを受け取ります。彼らは、高度なハッキング技術を駆使して自ら被害者のシステムに侵入することもあれば、単なるスパムメールで被害者のシステムに侵入し、ランサムウェアをアップロードします。その後、被害者がお金を払えば、収益の70~80%を受け取ることができます。一方、ランサムウェアの作者は、お金が転がり込んでくるのを見て、足を休めることができます。
100万円の財布をアフィリエイトで没収
最近では、アメリカのFBIがこれらの関連会社を追いかけています。サンクトペテルブルクに住むロシア人、アレクサンドル・シケリンの行方を追ったのです。
FBI Seizes Cryptocurrency Worth $2.3 Million From REvil Ransomware Group Affiliate | #malware | #ransomware#earegun
US law enforcement seized 39.9 Bitcoins from an Exodus wallet, worth approximately $2.3 million (roughly Rs. 17.3 crore) from a Russian citizen suspected of … pic.twitter.com/yyjGMQ4Y85
— Estiuck Al Regun (@earegun) December 6, 2021
FBIは、シケリンが他のコンピュータに不正アクセスし、そこにランサムウェア「REvil」をインストールして、資金洗浄を行ったと告発しています。この起訴状に基づき、当局はシケリンから39.9ビットコイン(約230万円)が入ったExodus Walletを押収しました。
起訴状によると、Sikerinは、約2億ドルの身代金支払いにつながったランサムウェア攻撃の責任の一端を担っています。これらの身代金の支払いの一部は、現在FBIの管理下にあるSikerinのウォレットに関連していると考えられます。
FBIがどのようにして「エクソダスの財布」を手に入れたのかは、まだはっきりしていません。Exodusは、デスクトップコンピュータやモバイルデバイス用のウォレットです。コードのすべての部分がオープンソースになっていないため、批判を受けたり、受けたりしていますが、米国政府がボタンを押すだけでお金を没収できるような大規模なバックドアがウォレットに含まれている可能性は、むしろ低いと言えます。より可能性が高いのは、デバイスの没収やハッキングによるアクセスです。
An international strike against REvil
その財布は1ヶ月前に行われた広範な発作の一部でもあったかもしれません。11月初め、米国司法省は、米国人を対象とした最悪のランサムウェア攻撃の背後にいたとして、ウクライナ人とロシア人を起訴しました。
具体的には、7月にソフトウェアプロバイダーのKaseyaがランサムウェア「REvil」に襲われたことです。そのソフトウェアは多数のシステムに搭載されているため、攻撃は世界中に及びました。何千もの企業が影響を受けており、その中にはスウェーデンのすべてのコープも含まれています。
Supply chain attacks continue to have a widespread impact and this is an example of how deep they can go.
800 supermarkets closed because of their POS provider’s MSP’s software provider experiencing a ransomware attack.
= A mouthful of supply chain risk. https://t.co/EdtrZF6Z0U
— Sandeep Kumar (@deepsand) July 3, 2021
ウクライナのヤロスラフ・ヴァシンスキーは、同年10月にポーランドで逮捕されました。同氏とロシア人の同僚Yevgeny Polynin氏は、被害者のコンピュータに侵入し、ランサムウェア「REvil」をインストールした罪に問われています。ポリニンはヴァシンスキーと違ってまだ逃亡中である。
これらの捜査の過程で、米国当局は、身代金の支払いにさかのぼる600万ドル以上のビットコインとモネロを押収しました。また、FBIだけでなく、ユーロポールなどの警察機関も関与しています。
欧州刑事警察機構(ユーロポール)によると、ルーマニアでは11月初旬にさらに2人の被告がランサムウェア「REvil」を配布した容疑で逮捕され、韓国では3人の容疑者を逮捕したことが確認されています。合計で、捜査官は71カ国でランサムウェア攻撃を行ったとされる12人の容疑者を追跡しました。
完全犯罪ではないけど
長い間、ランサムウェアは犯人を追跡することがほとんど不可能と思われていたため、「完全犯罪」と考えられていました。今、その流れは少しずつ変わってきているようです。少なくとも、REvilに対する調査の成功がそれを物語っている。
その理由の一つは、ランサムウェアのハッカーが行き過ぎてしまったことかもしれません。有名法律事務所へのハッキングは、米国政府が「サイバーテロ」と呼ぶには十分な理由でした。市政や病院、大学への継続的な攻撃は、おそらく当局の忍耐力を使い果たしてしまったのではないかと思います。
ビットコインとダークネットは、世界中の法執行機関に超国家的な連携を迫っています。このことは、ダークネットのマーケットプレイスに対して、時には大成功を収めたことからもわかります。現在、警察はこの過程で構築したリソースや能力をランサムウェア対策に一貫して活用しています。
加えて、戦略の変更も期待できそうです。セキュリティ企業Mandiant社のディレクターであるKimberly Goody氏は、ランサムウェアの中核となる組織よりも、関連会社に対して対策を講じる方が有望である可能性があると説明しています。なぜなら、アフィリエイトは、ランサムウェアの作者ではなく、彼らがコンピュータをハッキングするという犯罪現場に近い存在であるだけでなく、警戒心が薄く、「暗号化ソフトよりも彼らのスキルが求められている」ことが多いからです。また、複数のギャングに所属するアフィリエイターもいます。つまり、ランサムウェア経済のボトルネックとなっているのは、ソフトウェア開発者ではなく、アフィリエイトなのかもしれません。
実際には、ソフトの制作者自体にたどり着くのは難しいようです。REvilのメーカーは、夏にColonial Pipelineがハッキングされた後、すでに撤退している。おそらく、彼らはこの件で一線を越えてしまったことに気づいたのでしょう。
