セキュリティ

「下請け」にハッキングを任せるハッカーグループが急増


ランサムウェアのハッキング作業を担当させるため、「下請け」を雇う犯罪グループが急増していると、セキュリティを専門とするジャーナリストのブライアン・クレブス氏が新たに報告しました。

Amid an Embarrassment of Riches, Ransom Gangs Increasingly Outsource Their Work — Krebs on Security
https://krebsonsecurity.com/2020/10/amid-an-embarrassment-of-riches-ransom-gangs-increasingly-outsource-their-work/

Partners in crime: North Koreans and elite Russian-speaking cybercriminals - Intel 471
https://public.intel471.com/blog/partners-in-crime-north-koreans-and-elite-russian-speaking-cybercriminals/

ランサムウェアは、感染したPCへのアクセスを制限し、制限を解除する代わりに金銭を要求するというマルウェアの一種です。ランサムウェアはスパムメールなどから感染した直後に発動してPCの制御を奪取するものもあれば、感染したPCが接続しているネットワーク全体を掌握するまで潜伏し続けるものもあります。

後者のような潜伏タイプのランサムウェアを扱う犯罪グループは、最初に感染したPCを足がかりとして、管理者PCに侵入したり、バックアップシステムに潜入したりして、より大きな被害を与えられる状況を整えてから機能を制限してきます。そして、管理者のPCに侵入する段階では、管理者のPCのセキュリティシステムを突破するなどのより高度な「ハッキング作業」が必要です。


クレブス氏によると、このハッキング作業は多大な労力が必要で、長ければ数カ月以上もかかるとのこと。そのため、近年はハッキング作業を「下請け」に任せる犯罪グループが急増しているそうです。

このような一部のハッキング作業を下請けに任せている犯罪グループの中でも特に有名なものとして、クレブス氏はロシア圏のサイバー犯罪フォーラムで著名な「Dr.Samuil」というグループを挙げています。Dr.Samuilはサイバー犯罪者フォーラムでハッキング作業を担当する下請け業者を募集することがあり、以下のような求人広告を掲示するそうです。

・クラウドストレージやVMware ESXiの経験者
Active Directory経験者
・権限が制限されたアカウントに対する権限昇格攻撃が可能な人


求人広告から得られる情報によると、Dr.Samuilはターゲット企業がランサムウェア攻撃に遭った際に捻出可能な資金について正確な情報を握っており、当該企業の財務データを掌握しているとみられています。

また、クレブス氏は独自調査によって、サイバー犯罪者が多用する世界中のサーバーを介してトラフィックを匿名化するVPNサービス「MultiVPN」を運営する「Ruskod Networks Solutions」がDr.Samuilの正体だと突き止めたとのこと。MultiVPNはベリーズやセーシェル共和国などの租税回避に拠点を置いていると主張していますが、Ruskod Networks Solutionsのドメインは「Sergey Rakityansky」というロシア人に取得されたことがWHOIS検索によって判明しています。


Dr.Samuilとケンカ別れしたという元パートナーがクレブス氏に語ったところによると、Sergey RakityanskyこそがDr.Samuilの正体であり、Sergey Rakityanskyはモスクワ南西部に位置するブリャンスクに在住しているとのこと。

今回の一件に関連して、セキュリティ企業のIntel471のマーク・アリーナCEOは、「下請け業者を雇っているサイバー犯罪グループは多く、特定企業に対する不正アクセス方法も多数売買されている」とも指摘。北朝鮮の支援を受けるハッカーグループ「ラザルス」が東欧のサイバー犯罪グループと結びついたという形跡や、ラザルスが作成したとみられるマルウェア「TrickBot」がロシア語圏で流通しているという事実を傍証として挙げて、サイバー犯罪者の間でハッキングに関するサービスや製品などをやり取りする「サイバー犯罪のエコシステム」が形成されていると主張しています。

北朝鮮「ラザルス」、東欧サイバー犯罪集団と共謀=報告書 | ロイター
https://jp.reuters.com/article/usa-cyber-north-korea-idJPKBN1YF2OC

この記事のタイトルとURLをコピーする

・関連記事
ランサムウェアの被害を受けた大学とハッカーの間で行われた「身代金交渉」の様子とは? - GIGAZINE

ランサムウェア攻撃を仕掛けたハッカーに身代金を支払うと政府から罰金が科される可能性がある - GIGAZINE

44億円以上のマネーロンダリングを行った犯罪グループが仮想通貨取引所の独自調査により摘発 - GIGAZINE

in セキュリティ, Posted by log1k_iy

You can read the machine translated English article here.