ランサムウェアグループに政府が反撃 被害に遭った組織は立ち直れるのか

さまざまな企業や重要インフラを攻撃していたランサムウェアグループを政府が攻撃し、グループのインフラをシャットダウンした。だが被害に遭った組織はどうやって立ち直ればよいのだろうか。

[Matt Kapko，Cybersecurity Dive]

　連邦捜査局（FBI）と国際的な法執行機関が2023年12月19日に発表したところによると、著名な攻撃を相次いで実行したランサムウェアグループ「AlphV」（別名Blackcat）のインフラに侵入し、シャットダウンしたという（注1）。AlphVはどの程度の被害をもたらしていたのだろうか。

ランサムウェアにやられた企業はどうなる

　AlphVが狙っていたのは政府施設や緊急サービスだけではない。

　米国の防衛産業基盤企業や製造業、医療機関、学校などに対する攻撃にも関与したと司法省は関連付けた。司法省によると、AlphVは過去18カ月の間に1000以上の標的を攻撃した世界で2番目に活発なグループであり、RaaS（Ransomware as a Service）を利用する。

　AlphVはNorton Healthcare（注2）とFidelity National Financial（注3）、Tipaltiに対する最近の攻撃に関与したと主張している（注4）。また、AlphVと提携している「Scattered Spider」は（注5）AlphVのランサムウェアの亜種を使用しており、MGM Resorts（注6）とCaesars Entertainment（注7）、Cloroxに対する大規模な攻撃に関与した（注8）。

ランサムウェアから回復するツールも提供

　司法省によると、複合的な恐喝攻撃モデルを使用するAlphVに起因する世界的な損失は、数億ドルに上るという。

　被害者がシステムを復旧し、総額約6800万ドルの身代金要求を回避するための復号ツールを開発したとFBIが発表した。この復号ツールは、全世界で500以上の被害組織に提供されるという。

　副司法長官のリサ・モナコは声明の中で「FBIが世界中の数百のランサムウェア被害者に提供した復号ツールにより、企業や学校が再開でき、医療や緊急サービスもオンラインに戻すことができた」と述べた。

　AlphVに対する法執行措置には、グループが運営する複数のWebサイトの押収も含まれている。脅威研究者たちは2023年12月18日に、押収されたダークWebのリークサイトのスクリーンショットをソーシャルメディアに公開した。それには、10以上の国際的な法執行機関のロゴが貼られていた。

どうやってグループのネットワークを把握したのか

　FBIは、ある情報提供者の協力を得て、AlphVのネットワークを把握した。米国フロリダ州南部地区の連邦地方裁判所で、2023年12月19日に公開された捜査令状で（注9）、FBIは「法執行機関は、現在も継続しているサイバー犯罪捜査に関して信頼性の高い情報を定期的に提供してくれる機密性の高い情報提供者と連携した」と述べた。

　FBIのポール・アバット氏（副長官）は「FBIはサイバー犯罪者を裁くために、重要なインフラや民間企業、それらに関連する組織を標的としたランサムウェアキャンペーンを撃退し、妨害し続ける決意だ」と述べた。

　国際的な法執行機関の集まりは、このグループとその活動について継続的に捜査している。AlphVのインフラの摘発に関連して、逮捕者の発表はなかった。

　Google Cloudのグループ企業Mandiant Consultingのチャールズ・カーマカル氏（CTO《最高技術責任者》）は「これは法執行機関とコミュニティーにとっての大きな勝利だ。AlphVは最も活発なRaaSグループの一つであり、ロシアや西側の英語圏の提携者と共に活動している」と述べた。

　「しかし、UNC3944（Scattered Spider）を含むAlphVの提携者の一部はまだ活動している。一部の提携者は通常通り侵入を続け、暗号化や恐喝、被害者を辱めるサポートのために他のRaaSプログラムと関係を築こうとするだろう」（カーマカル氏）

出典：US leads AlphV ransomware infrastructure takedown（Cybersecurity Dive）
注1：Justice Department Disrupts Prolific ALPHV/Blackcat Ransomware Variant（U.S. Department of Justice）
注2：Norton Healthcare ransomware attack exposes 2.5M people（Cybersecurity Dive）
注3：Fidelity National Financial investigating cyberattack that led to service disruption（Cybersecurity Dive）
注4：Payments processor Tipalti investigating ransomware attack（Cybersecurity Dive）
注5：Threat actors behind Las Vegas casino attacks are social-engineering mavens（Cybersecurity Dive）
注6：MGM Resorts’ Las Vegas area operations to take $100M hit from cyberattack（Cybersecurity Dive）
注7：Caesars Entertainment faces class action lawsuits following rewards database hack（Cybersecurity Dive）
注8：Clorox warns of quarterly loss related to August cyberattack, production delays（Cybersecurity Dive）
注9：UNITED STATES DISTRICT COURT for the Southern District of Florida（U.S. Department of Justice）