サイバー犯罪に対する欧米当局の取り組みが活発化しています。欧州刑事警察機構(Europol)がオランダやドイツなど7カ国の当局と連携してEmotetのボットネットをテイクダウンさせたことは日本でも大きく報道されましたが、ほぼ時を同じくして米司法省(DOJ)はランサムウェアNetWalkerをめぐりカナダ人の男を起訴したことを発表、ブルガリア当局はNetWalkerのダークネットサイトのサーバーを押収しました。
RaaSに移行して莫大な収益
NetWalkerは2019年8月に最初に検出されたランサムウェアで初期バージョンではMailtoという名称でした。昨年3月頃から急増し、わずか5カ月間で2500万ドル(約26億円)を収奪したマルウェアだということです。NetWalkerはいわゆる二重脅迫型と呼ばれるランサムウェアです。新型コロナウィルス感染症(Covid-19)の拡大に便乗したフィッシングメールを医療やヘルスケア分野の組織や企業等に送り、昨年6月には米カリフォルニア大学サンフランシスコ校を攻撃、同校は114万ドル(約1億2000万円)の身代金を支払ったということです。NetWalkerによる被害は世界各国に及んでいます。日本では具体的な被害のニュースを目にしていませんが、日本での被害をカウントしているデータもあります。
NetWalkerが短期間のうちに莫大な犯罪収益を上げたのは、NetWalkerが昨年3月にRaaS(Ransomware as a Service)に移行したためだと見られています。RaaSとは、ランサムウェアのビジネス化とも言われていますが、ランサムウェアを汎用化し専門的な知識がなくても使える「製品」にすることで、別の実行者が攻撃を行うことが可能となり、いわゆるアフィリエイトプログラムによって収益を拡大させるものです。NetWalkerの背後にはCircusSpiderという犯罪グループがあると言われていますが、NetWalkerのRaaSに伴いCircusSpiderはダークウェブのロシアの犯罪フォーラムにNetWalkerのアフィリエイトプログラムへの招待状を投稿してアフィリエイトを募集したようです。NetWalkerのアフィリエイトプログラムは身代金の最大80%がアフィリエイトに支払われるというサイバー犯罪者にとっては魅力的なプログラムだったようです。
アフィリエイトプログラムで2760万ドル
レ・ジャーナル・ド・モンレアルはカナダ・ケベック州モントリオールで発行されているフランス語のタブロイド紙だということですが、そのウェブ版は今年1月28日付けで「RCMPは水曜日、ガティノーのセバスチャン・ヴァション・デジャルダンの自宅で警察の作戦を実行しました」との記事を写真付きで報じています。RCMPはRoyal Canadian Mounted Policeの略称でカナダ連邦政府の国家警察・連邦警察です。ガティノーはケベック州南西部の都市です。
この記事によると、セバスチャン・ヴァション・デジャルダンは33歳。コンピューター技術者として連邦政府やオタワ大学で働いていた経歴がありますが、麻薬密売などで告発され2015年には禁固刑を言い渡されているようです。米司法省は1月27日水曜日にセバスチャン・ヴァション・デジャルダンをコンピューター詐欺などでフロリダ州中部地区の裁判所に起訴したことを発表しました。米司法省のリリースによると、NetWalkerのアフィリエイトプログラムにより少なくとも2760万ドル(約29億円)の犯罪収益を得た疑いがあるということです。米司法当局は約45万ドル(約4700万円)を押収し、また、ブルガリア当局は被害者に支払いを指示するダークウェブのサイトのサーバーを押収、このサイトにアクセスすると「この隠しサイトは押収されました」とのバナーが貼られているようです。
ランサムウェアの身代金の支払いには暗号通貨が使われています。米司法当局がセバスチャン・ヴァション・デジャルダンの起訴に至った捜査では、暗号通貨の取引データが犯行解明の大きな手掛かりになったようです。チェイナリシスは、ブロックチェーンの調査、分析を行っているアメリカのスタートアップ企業です。今回の米司法省の発表について「チェイナリシスの調査ツールがランサムウェアの資金を追跡するのに役立ったことを誇りに思います」と記したレポートを同社サイトに掲載しています。
SodinokibiやSuncrypt、Ragnarlockerにも関与か
同社のレポートによると、NetWalkerは収益の8~10%がNetWalkerの管理者もしくは開発者に、76~80%がアフィリエイト、2.5~5%が2つの委託先に手数料として渡っているということです。1つのウォレットが100%の支払いを受けるケースもあり、それはNetWalkerの管理者が直接、攻撃を行ったケースと考えられるということです。ブロックチェーンの分析により、セバスチャン・ヴァション・デジャルダンに関連する少なくとも345のアドレスが2018年2月にまで遡って明らかになっているようです。セバスチャン・ヴァション・デジャルダンは少なくとも91のNetWalkerの攻撃に関与しており、SodinokibiやSuncrypt、Ragnarlockerなどの他のRaaSにも関与していた疑いがあるようです。
「犯罪者のオンラインインフラストラクチャを破壊し、可能な限り身代金の支払いを回収することでランサムウェアの脅威に対抗していきます」と米司法省。チェイナリシスは「暗号通貨取引所と政府機関が協力してランサムウェアの行為者が不当利益を引き出すことを防ぐことが重要だ」としています。
■出典
https://www.crowdstrike.com/resources/reports/netwalker-ransomware-technical-analysis/
https://www.upguard.com/blog/what-is-netwalker-ransomware
https://www.journaldemontreal.com/2021/01/28/un-pirate-international-a-gatineau
https://www.journaldemontreal.com/2021/01/29/le-pirate-de-gatineau-aurait-mene-91-attaques
https://blog.chainalysis.com/reports/netwalker-ransomware-disruption-arrest