ドイツの地方警察とウクライナの国家警察がランサムウェアDoppelPaymerの犯罪グループのメンバーに対する捜査を行っています。Europol(欧州刑事警察機構)=写真=が明らかにしました。捜査はEuropolとオランダ警察、FBI(米連邦捜査局)の支援のもと行われているということです。ロシアの侵略戦争下にあるウクライナでもサイバー犯罪の捜査は行われているということですから、サイバー犯罪に対する欧米の姿勢が伺えます。
各国捜査機関を結ぶ仮想指揮所を設置
Europolの発表によると、ドイツではDoppelPaymerランサムウェアグループで主要な役割を果たしたと考えられるドイツ国民の自宅を家宅捜索し、押収機器を分析してこのドイツ国民がどのような役割を担っているのか捜査しているということです。また、ウクライナの警察はDoppelPaymerランサムウェアグループの中核メンバーと考えられるウクライナ国民に聴取するとともにキエフとハリコフの2カ所を捜索して電子機器を押収したということです。
Europolは3人の専門家をドイツに派遣し、押収した機器やデータをEuropolのデータベースと照合してフォレンジックをサポートしているということです。また、家宅捜査は、ドイツとウクライナの現地警察にとどまらず、ドイツ、ウクライナとEuropol、オランダ、FBIの捜査官や専門家をリアルタイムで接続して仮想指揮所(Virtual command post)を設置して行ったようです。
また、この捜査に対してはEuropolのJ-CAT(Joint Cybercrime Action Taskforce)も支援を行っているということです。J-CATとはEuropolに常設されているサイバー犯罪捜査に取り組むタスクフォースで、さまざまな国のサイバー犯罪担当官で構成されているようです。
INDRIK SPIDERから分裂したグループが運営か?
Europolによると、DoppelPaymerランサムウェアは2019年に登場したランサムウェアで、ドイツ当局はこのランサムウェアによるドイツ国内の被害37件を把握しており、被害者はすべて企業で、もっとも深刻な攻撃の1つはデュッセルドルフの病院に対して行われたものだということです。また、アメリカでは2019年5月から2021年3月までに少なくとも4000万ユーロ(約57億円)の身代金の支払いが行われたということです。
トレンドマイクロによると、DoppelPaymerランサムウェアは2017年に登場したBitPaymerランサムウェアとコードや身代金メモ、支払いポータルが類似しており、BitPaymerにもとづいているということです。マルウェアのDridexと関係し、まずDridexがダウンロードされてシステムに侵入し、システムのネットワーク内を横方向に移動し、価値の高いターゲットが見つかると、Dridex は最終的なペイロードである DoppelPaymer をダウンロードし、DoppelPaymer は、ネットワーク内にあるファイルと、感染したシステムの固定ドライブおよびリムーバブル ドライブを暗号化するということです。
クラウドストライクによると、DoppelPaymerはBitPaymerランサムウェアを運用する犯罪グループINDRIK SPIDERから分裂したグループによって運営されているということです。ちなみにINDRIK SPIDERは、2014年にGame Over Zeusの元アフィリエイトによって作られた犯罪グループで、DridexはINDRIK SPIDERが開発したマルウェアだということです。
ランサムウェアの実態解明には国境を越えた捜査が求められ、ヨーロッパではEuropolを中心に各国の捜査当局者が連携してサイバー犯罪に取り組む体制が作られているようです。
■出典
https://www.trendmicro.com/en_us/research/21/a/an-overview-of-the-doppelpaymer-ransomware.html
https://www.crowdstrike.com/blog/doppelpaymer-ransomware-and-dridex-2/