ランサムウェア犯罪組織「REvil」の容疑者7人がユーロポールの「GoldDust」作戦により世界各地で続々と逮捕される

2021年11月8日に欧州刑事警察機構(ユーロポール)が、ランサムウェアを使用するサイバー犯罪組織「REvil(Sodinokibi)」とその関連組織の容疑者7人が韓国・ルーマニア・ポーランド・クウェートで相次いで逮捕されたと発表しました。またアメリカ司法省は同日、ポーランドで逮捕されたウクライナ人をIT管理サービス・Kaseyaへのランサムウェア攻撃の容疑で起訴し、身柄の引き渡し手続きを進めていることを明らかにしました。

Five affiliates to Sodinokibi/REvil unplugged | Europol
https://www.europol.europa.eu/newsroom/news/five-affiliates-to-sodinokibi/revil-unplugged

Ukrainian Arrested and Charged with Ransomware Attack on Kaseya | OPA | Department of Justice
https://www.justice.gov/opa/pr/ukrainian-arrested-and-charged-ransomware-attack-kaseya

Europol: Seven REvil/GandCrab ransomware affiliates were arrested in 2021 - The Record by Recorded Future
https://therecord.media/europol-seven-revil-gandcrab-ransomware-affiliates-were-arrested-in-2021/

An alleged member of the REvil ransomware gang was arrested in Poland - The Verge
https://www.theverge.com/2021/11/8/22770701/revil-ransomware-arrest-kaseya-crypto-europol-cybersecurity

ユーロポールは2018年から、100万人以上の被害者を出した当時最大のランサムウェア犯罪組織である「GandCrab」の調査を行っており、その成果を元にオーストラリア・ベルギー・カナダ・フランス・ドイツ・オランダ・ルクセンブルク・ノルウェー・フィリピン・ポーランド・ルーマニア・韓国・スウェーデン・スイス・クウェート・イギリス・アメリカの計17カ国が参加する「GoldDust」作戦を立ち上げて、GandCrabに関する本格的な捜査に乗り出しました。ユーロポールによると、GandCrabは世界的な食肉大手のJBSやIT管理サービスを手がける国際企業・Kaseyaへの大規模なランサムウェア攻撃で知られるREvilの前身とのこと。

GandCrabとそこから派生したREvilの捜査を行っていたユーロポールは、2021年の2月・4月・10月にREvilおよびGandCrabの関係者3人を韓国で逮捕しました。さらに、10月にはKaseyaへの攻撃に直接関与したREvilの関係者1人がポーランドで逮捕されたほか、11月4日にはREvilの関係者2人がルーマニアで、同日GandCrabの関係者がクウェートでそれぞれ逮捕されました。これにより、これまで逮捕されたGandCrabとREvilの関係者は合計7人となりました。

2021年2月に発表されたレポートによると、REvilは2020年だけで約1億2300万ドル(約140億円)を稼いだとされています。さらに、2021年に入ると活動を一層活発化させAppleやAcer、日本の大手ゼネコンである鹿島建設などを次々と標的にし、7月には前述のKaseyaへの攻撃で多数のマネージドサービスプロバイダとその顧客らに甚大な被害をもたらしました。

このKaseyaへの攻撃に関連し、アメリカ司法省は11月8日に「Kaseyaに対する2021年7月の攻撃を含む、複数のランサムウェア攻撃を行ったとして、10月にポーランドで逮捕された22歳のウクライナ人であるYaroslav Vasinskyi容疑者を起訴し、その身柄の引き渡しに関する手続きを行っています」と発表しました。

アメリカ司法省はまた、前述の7人とは別のREvil関係者で28歳のロシア人であるYevgeniy Polyanin容疑者を起訴し、同容疑者が暗号資産取引所のFTXで保有していた資金610万ドル(約6億9000万円)を差し押さえたと発表しました。ただし、Polyanin容疑者は記事作成時点では逮捕されていません。

起訴状には、Vasinskyi容疑者とPolyanin容疑者がREvilのメンバーと共謀して攻撃を行ったとだけ記載されており、具体的にどのような行為を働いたかは明らかにされていません。しかし、もし全ての罪状が裁判で認められて両容疑者が敗訴した場合、2人にはそれぞれ100年以上の懲役刑が課せられる可能性もあるとのことです。

メリック・ガーランド司法長官は発表声明の中で、「我々のメッセージは明確です。アメリカは、同盟国とともにランサムウェア攻撃の犯人を特定し、裁きを下し、犯罪者が被害者から奪った金銭を取り戻すために全力を尽くします」と述べました。