The Hacker Newsは2月10日、「U.K. and U.S. Sanction 7 Russians for TrickBot, Ryuk, and Conti Ransomware Attacks」において、米国と米国の政府が7人のロシア人をサイバー犯罪に関与したとして制裁リストに追加したと伝えている。指名された7人は、TrickBotやRyuk、Contiといったランサムウェアの開発、これらを用いたサイバー攻撃に関与しているほか、マネーロンダリングやWebサイトからの機密情報の盗み出しなどにも関与しているとされている。

U.K. and U.S. Sanction 7 Russians for TrickBot, Ryuk, and Conti Ransomware Attacks

Trickbotは2016年に初めて報告されたマルウェアであり、当初は銀行の口座情報や関連する資格情報などを収集するバンキング型トロイの木馬の一種だったものの、その後の度重なる機能拡張によってより高度なマルウェアプラットフォームに成長した。Trickbotを使用するサイバー脅威グループの背後にはロシア政府が関わっているとされている。

Ryukは2018年に最初に報告されたランサムウェアで、主に公的機関を標的として身代金の支払い目的で利用されていた。英国国家サイバーセキュリティセンター(NCSA: National Cyber Security Centre)では、Trickbotを利用して侵害されたコンピュータが、追加のペイロードとしてRyukをインストールする事例を報告している。

Contiは2020年に初めて確認されたランサムウェアで、医療機関を含む幅広い分野の重要組織を標的としたさまざまな攻撃キャンペーンに用いられており、世界中で莫大な被害をもたらしている。RyukとContiは、マルウェアによる攻撃機能をサービスとして提供するMaaS(Malware as a Service)でも盛んに利用されている。

TrickbotやRyuk、Contiの開発および運用は、「Wizard Spider」(別名ITG23、Gold Blackburn、UNC1878など)と呼ばれるロシアの驚異アクターによって行われているとされている。Wizard Spiderは、2022年のウクライナを標的としたサイバー攻撃にも関与している。

両国の政府機関は、Wizard Spiderに関する調査を強化しており、今回の7人の制裁リストへの追加はその初めの一歩と伝えている。この件に関して、英国政府は次のプレスリリースを発表している。

UK cracks down on ransomware actors - GOV.UK

なお、「Conti」を名乗るランサムウェアグループは2022年5月に活動を停止したと報じられた。その理由は、それに先立ってContiのソースコードや組織の内部情報がリークされ、ランサムウェア稼業が成り立たなくなったからと言われている。ただし、活動を停止したのはあくまでも「Conti」というブランドだけであり、その運営組織は依然として活動を継続しているという指摘もある。英国政府は発表の中で、「Contiグループのメンバーは、英国のセキュリティを脅かす最も悪名高い新しいランサムウェア株のいくつかに引き続き関与している」と説明している。

両政府では、今後も引き続きランサムウェア攻撃に関与するサイバー犯罪者を突き止め、その活動の取り締まりを強化していくとのことだ。