FBIがハッカー集団「BlackCat」のサイトを押収し復号キーを配布、BlackCatは効いていないと主張するも致命傷の可能性
アメリカ司法省が2023年12月19日に、ランサムウェアグループ「BlackCat」のサイトがFBIによって押収されたと発表しました。BlackCatは新しいサイトを立ち上げて押収の影響は軽微だと主張していますが、専門家は「無能が露呈したランサムウェアグループが復権することは難しいだろう」との見解を示しています。
Office of Public Affairs | Justice Department Disrupts Prolific ALPHV/Blackcat Ransomware Variant | United States Department of Justice
FBI disrupts Blackcat ransomware operation, creates decryption tool
https://www.bleepingcomputer.com/news/security/fbi-disrupts-blackcat-ransomware-operation-creates-decryption-tool/
FBI developed decryptor for BlackCat ransomware, shut sites • The Register
https://www.theregister.com/2023/12/19/blackcat_domain_seizure/
FBI developed decryptor for BlackCat ransomware, shut sites • The Register
https://www.theregister.com/2023/12/19/blackcat_domain_seizure/
BlackCatは「ALPHV」や「Noberus」などの名称でも知られているランサムウェアグループで、過去にはバンダイナムコHDのグループ会社や掲示板型ソーシャルニュースサイト・Redditなどに攻撃を行ったことが報じられています。
バンダイナムコHDのグループ会社がサイバー攻撃を受け顧客データが流出した可能性 - GIGAZINE
BlackCatが活動を開始してから18カ月の間に、1000人以上の被害者から合計数億ドル(数百億円)の身代金が巻き上げられたと見られており、アメリカ司法省は「BlackCatは世界で2番目に被害を多発させた『サービスとしてのランサムウェア(Ransomware as a Service:RaaS)』の亜種」としています。
アメリカ司法省は今回の声明で、FBIがBlackCatのサーバーに侵入し、その活動を監視した上で復号キーを奪取することに成功したと発表しました。FBIはBlackCatから奪った復号キーを元に復号ツールを開発し、ランサムウェアの被害を受けた国内外の被害者数十人に提供したとのこと。これにより、被害者が身代金として要求されていた総額6800万ドル(約100億円)の被害が未然に防がれたとアメリカ司法省は述べています。
同時に、FBIはBlackCatのインフラも破壊したとしており、複数のメディアがダークウェブ上にあったBlackCatのサイトがオフラインになったことを確認しています。
以下は、BlackCatが被害者名の公開や身代金の支払い方法の指定に使用していたTorブログに表示された押収通知です。この通知によると、BlackCatのサーバーの押収はユーロポールやEU諸国、およびオーストラリアの警察当局との連携によって実施されたとのことです。
アメリカ司法省は、BlackCatに関する追加情報の提供者には報奨金を支払うとしているほか、まだ名乗り出ていない被害者に復旧支援を受けるよう呼びかけています。
一方、BlackCatは新しく設立したサイトに掲載したロシア語の声明で、押収されたサイトは自分たちが「解放」したものであると主張しました。BlackCatによると、捜査当局が復号キーにアクセスできた期間は約1カ月半で、救済の対象となる被害者は400人ですが、これによりかえって3000人の被害者が復号キーを受け取れなくなったり、身代金の割引を受けられなくなったりしたとのこと。
BlackCatの構成員の大半はロシアにいると見られており、ロシアには欧米の捜査の手が及ばないため、実行犯の逮捕は不可能に近いと海外メディアのAxiosは指摘しています。そのため、BlackCatが拠点を変えて活動を再開したり、BlackCatの構成員が新しい名称でランサムウェアグループを設立したりする可能性は十分にあります。
しかし、多くの専門家は「一度捜査当局による逆ハッキングを許したサイバー犯罪者がこれまで通りの勢力を保つことは難しい」との見解を示しています。
ランサムウェア研究者のアラン・リスカ氏はX(旧Twitter)で、「ALPHVがうそつきのクズだと知って驚く人はいないでしょう。彼らは何も『解放』していません」と述べて、BlackCatの声明は虚勢であると指摘しました。
It will surprise no one to learn that ALPHV are lying pieces of shit. They didn't "unseized" anything.
The way .onion addressing works is that, as long as you have the signing key, if you register a second server with that address the newest server will be believed by default. https://t.co/88Fqc35Fnr— Allan “Ransomware Sommelier????” Liska (@uuallan) December 19, 2023
また、セキュリティ企業・Recorded Futureのアナリストであるアレクサンダー・レズリー氏は「ALPHVが秘密鍵を持っている限りまだブログにアクセスすることができますが、驚くには値しないでしょう。私に言わせれば、今回の『反撃』は、ALPHVが倍返しして面目を保とうとしているに過ぎません」と述べました。
Okay, clown time over. This reeks of desperation.
As long as ALPHV retains their private keys, they’ll still have access to the blog. They could also spin up a second server. It’s not some incredible feat of intellect.
The commission restructuring is obviously intended to… https://t.co/Y2wa5Bhw7a— Alexander Leslie (@aejleslie) December 19, 2023
セキュリティ企業・Emsisoftのアナリストであるブレット・キャロー氏は、海外メディアのThe Registerに対し、「ALPHVの犯罪パートナーは今後、法執行機関によるハニーポットを疑わなくてはならないでしょう。もっとも、現実には一度捜査機関から泳がされた経歴を持つ無能な組織と仕事を続けようとする犯罪者はまずいません。リスクが高すぎますから」と話しました。
