米司法省がテック企業Kaseyaを攻撃したハッカーを起訴、別件の身代金6.9億円も押収

米司法省は、米テクノロジー企業Kaseya(カセヤ)に対する7月のランサムウェア攻撃を指揮した容疑で、ランサムウェアREvilのギャングに関係する22歳のウクライナ人を起訴した。また、悪名高いランサムウェアグループの別のメンバーに絡む600万ドル(約6億8000万円)超の身代金を押収した。

Merrick Garland(メリック・ガーランド)司法長官は11月8日の記者会見で、Yaroslav Vasinskyi(ヤロスラフ・ヴァシンスキー)容疑者が10月に米政府の要請を受けてポーランドで逮捕され、現在、米国への身柄引き渡し手続きの最中だと発表した。ヴァシンスキー容疑者は見つからないようネット上で別名を使用していたが、今はなきランサムウェアREvilの長年関与しており、世界中の企業に対する2500件の攻撃を展開したとして告発されている。

身代金要求額が7億6700万ドル(約868億円)に上るとされるヴァシンスキー容疑者は中でも、米企業1500社超に影響を与え、身代金7000万ドル(約79億円)を要求したKaseyaへの攻撃に関与したとされていることで有名だ。

また、別のREvilアフィリエイトであるロシア人のYevgeniy Polyanin(エフゲニー・ポリアニン)容疑者は、3000件のランサムウェア攻撃を行い、被害者から約1300万ドル(約14億円)を脅し取った容疑で告発されており、米当局はこのハッキングに関連する610万ドル(約6億9000万円)を押収した。ヴァシンスキー容疑者とポリアニン容疑者は、マネーロンダリング、詐欺、保護されたコンピュータへの意図的損害の容疑で起訴されている。

「司法省は、ランサムウェアを使って米国を攻撃した者を特定し、裁くためにあらゆる手段を講じています」とガーランド氏は述べた。

米政府が狙っているのはハッカーだけではない。財務省は11月8日、身代金の取引を促進したとして、暗号資産取引所のChatexに対する制裁を発表した。

さらに、国務省は「Sodinokibi / REvilランサムウェア亜種の多国籍組織犯罪グループで重要な指導的立場にある個人の特定または居場所の特定につながる情報」に対して最大1000万ドル(約11億円)の報奨金を、またREvil亜種のランサムウェア事件に参加した個人の逮捕または有罪判決につながる情報に対して最大500万ドル(約5億6000万円)の報奨金を発表した。

先週は、5月に米国の大手燃料プロバイダーColonial Pipeline(コロニアル・パイプライン)を数日間にわたって操業停止に追い込んだ、いわゆるDarkSideランサムウェアの背後にいるハッカーに関する重要な情報に対して、同様の報奨金を発表した。この前に米国は、Colonial Pipelineがランサムウェアギャングに支払った身代金のうち230万ドル(約2億6000万円)を回収している。

司法省の取り組みにより、過去5カ月でREvilのアフィリエイト7人が逮捕された。欧州の法執行機関であるEuropol(欧州刑事警察機構)は11月8日、REvilランサムウェアを使って5000人を感染させ、恐喝しようとしたハッカー2人がルーマニアで逮捕されたことを発表した。Europolによると、身代金支払いで50万ユーロ(約6500万円)を懐に入れた氏名非公表の2人は11月4日に逮捕された。同日、クウェート当局もランサムウェアREvilの3人目のアフィリエイトを逮捕した。

10月に母国からポーランドに入国しようとして逮捕されたヴァシンスキー容疑者の他にも、2月と4月に韓国でREvilのアフィリエイトと思われる2人の人物が逮捕されたことを当局が11月8日に初めて明らかにした。

Europolは「2021年2月以降、この2つのランサムウェア・ファミリーに関連する計7人の容疑者が逮捕されました。容疑者らは合計で約7000人を攻撃した疑いがあります」と説明した。

今回の逮捕は、17カ国の法執行機関、Europol、Eurojust(欧州司法機構)、Interpol(国際刑事警察機構)が参加した「Operation GoldDust」の成果だ。この作戦には、Bitdefender、KPN、McAfeeなどサイバーセキュリティ業界からの支援もあった。Bitdefenderの研究者は、捜査を通じて技術的な見解を提供するとともに、ランサムウェア攻撃の被害者が身代金を払わずにファイルを復元できるよう、復号化ツールを提供した。

Europolによると、REvil復号化ツールは、ランサムウェア攻撃を受けた1400超の企業のネットワークの復号化を支援し、サイバー犯罪者への支払いを4億7500万ユーロ(約623億円)以上減らした。米当局によると、ランサムウェアREvil全体では、活動を開始してから2億ドル(約226億円)以上を回収した。

今回の逮捕は、ランサムウェア活動を標的とした法執行機関の一連の活動の中で最新のものだ。Europolが10月に主導した作戦では、LockerGoga、MegaCortex、Dharmaなどのランサムウェア攻撃の背後にいると考えられていたウクライナとスイスの容疑者12人が逮捕された。

画像クレジット:Bryce Durbin / TechCrunch

原文へ

(文:Carly Page、翻訳:Nariko Mizoguchi

独立記念日を狙うKaseyaのハッキング、ランサムウェアで何百もの企業に被害

米国時間7月2日に、世界数百社の企業をランサムウェアの洪水が襲った。食料品チェーンや放送局、国営鉄道などがファイルを暗号化するマルウェアに襲われ、数百社が業務続行不能による閉鎖に追い込まれた。

被害者には共通点があった。ネットワークの管理とリモートコントロールに、米国のテクノロジー企業Kaseyaのソフトウェアを使っていた。マイアミに本社のある同社は、企業のITネットワークとデバイスをリモートで管理するために使うソフトウェアを開発している。そのソフトウェアはマネージドサービスのプロバイダーに販売されており、実質的にIT部門をアウトソーシングし、プロバイダーはそのソフトウェアを使って顧客のネットワークを管理している。顧客は小規模の企業が多い。

しかし、ロシアと結びついているランサムウェア・アズ・ア・サービスのグループであるREvilと関係のあるハッカーたちは、そのソフトウェアのアップデートの仕組みに存在する、誰にも見つかっていなかったセキュリティの脆弱性を利用してランサムウェアをKaseyaの顧客企業にプッシュし、さらに、下流に位置する彼らの顧客へとそれは拡散したと信じられている。最終的にこの犯行の被害者になった企業の多くが、自分のネットワークをKaseyaのソフトウェアがモニターしていることすら、知らなかっただろう。

Kaseyaは7月2日に顧客(サービスプロバイダー)たちに、彼らのオンプレミスのサーバーを「IMMEDIATELY(ただちに)」シャットダウンするよう警告し、同社のクラウドサービスは(無事と信じつつ)用心のためオフラインにされた。

今回の攻撃をいち早く明らかにした脅威検知会社Huntress LabsのシニアセキュリティリサーチャーであるJohn Hammond(ジョン・ハモンド)氏は、約30社のマネージドサービスプロバイダーが攻撃を受け、ランサムウェアが「1000社をはるかに超える」企業に拡散したと述べる。セキュリティ企業のESETは、英国、南アフリカ、カナダ、ニュージーランド、ケニア、インドネシアなど17カ国の被害者を把握しているという。

7月5日の夜、Kaseyaはアップデートで、約60社のKaseyaの顧客が影響を受け、被害者の数は1500社未満であると発表した。

また現在、史上最大規模のランサムウェア攻撃をハッカーがどのように成功させたかが明らかになりつつある。

オランダの研究者は、ウェブベースの管理ツールのセキュリティに関する調査の一環として、Kaseyaのソフトウェアにいくつかのゼロデイ脆弱性を発見したと述べている(ゼロデイとは、企業が問題を修正するのに0日しか与えられないことから、そのように名付けられている)。これらのバグはKaseyaに報告され、ハッカーが攻撃してきたときには修正されている最中だったと、研究者グループを率いるVictor Gevers(ビクター・ゲバーズ)氏はブログ投稿で述べている。

Kaseyaの最高経営責任者であるFred Voccola(フレッド・ヴォコラ)氏は、The Wall Street Journalに対し、同社の企業システムは侵害されていないと述べた。これにより、セキュリティ研究者たちが、Kaseyaの顧客が運営するサーバーが、共通の脆弱性を利用して個別に侵害されたという定説をより確かなものにした。

同社によると、被害に遭ったソフトウェアが動いているすべてのサーバーが、パッチができるまでオフラインにされる。ヴォコラ氏はWSJに、パッチは7月5日中にリリースされるだろうと述べている。

犯行は7月2日の午後遅くに始まり、その頃は何百万人もの米国人が週末の7月4日に始まる連休に備えてログオフしていた。つまりCrowdStrikeの上級副社長Adam Meyers(アダム・マイヤーズ)氏が指摘するように、慎重に時間を選んで行われた犯行だった。

マイヤーズ氏は「今回の攻撃のタイミングと標的は、決して偶然ではありません。この攻撃は、我々が定義する『ビッグゲーム・ハンティング(大物狩り)』というもので、企業がガードを下げている週末に、サプライチェーンを通じて影響と利益を最大化するためにターゲットに対して仕かけられたものです」という。

週末にREvilが運営していると思われるダークウェブサイトにポストには、この犯行の声明と7000万ドル分(約77億6000万円)のBitcoin(ビットコイン)を支払えば、ランサムウェアグループが暗号解除ツールを公開リリースするとある。

同グループは投稿で「100万台以上のシステムが感染した」と主張している。

関連記事:ランサムウェアの脅威を過大評価か、2021年5月の米企業へのサイバー攻撃に対する身代金を米司法省がほぼ回収

カテゴリー:セキュリティ
タグ:Kaseyaランサムウェアゼロデイ攻撃マルウェア

画像クレジット:Ali Lorestani/Getty Images

原文へ

(文:Zack Whittaker、翻訳:Hiroshi Iwatani)