イギリスの国家犯罪対策庁(NCA)によると、ランサムウェアのContiやRyukによるイギリスでの被害は、確認されているだけでも病院や学校、企業、地方自治体など149の個人・組織におよんでおり被害額は少なくとも2700万ポンド(約44億円)にのぼるということです。NCAはContiおよびRyukランサムウェアの背後にある犯罪グループについて長期間にわたり調査をしていると明らかにしています。
2019年にRyukとTrickbotの関係指摘
2019年11月末、当時の菅官房長官が記者会見でEmotetの感染被害が国内で相次いでいることを明らかにして注意を喚起しました。官房長官が特定のマルウェアについて言及することはそれまではなかったことなので、この注意喚起は当時かなり関心をもって多くのメディアによって報じられました。その5カ月前、イギリスでは国家サイバーセキュリティセンター(NCSC)がアドバイザリを発表して「Ryukは他のマルウェアファミリー、特にEmotetやTrickbotバンキングトロジャとリンクしている」と指摘しました。
Trickbotは、2016年にセキュリティ研究者によって特定されたマルウェアで、長く金融データを窃取するためのトロイの木馬ウィルスだと考えられていました。しかし、イギリス当局は比較的早い段階からTrickbotがモジュール化されて別の役割、つまりランサムウェアを投下するローダーとして使われていることに気づいていました。2018年に登場したランサムウェア、Ryukは2020年末までに総額1億5000万米ドルを稼いだとも言われ、もっとも活発に活動をしたランサムウェアとして知られています。イギリス当局はTrickbotがRyukの展開に重要な役割を担っていることを把握し、2019年にアドバイザリで注意喚起をしました。
以降、イギリス当局はTrickbotの背後に潜む犯罪グループを追いかけているようです。このグループはサイバーセキュリティ研究者の間でWizard SpiderやUNC1878などとも呼ばれています。ちなみにWizard Spiderはロシアを拠点としたTrickbotの運営者として知られており、UNC1878は東ヨーロッパに拠点を置きRyukランサムウェアによるサイバー攻撃を展開しているグループとみられているようです。2020年5月に確認されたランサムウェアのContiはRyukの後継ランサムウェアと考えられています。Contiは昨年5月に活動が閉鎖されましたが、閉鎖に至った経緯については前回のコラムに記したように、Contiがロシアのウクライナへの軍事侵攻を支持したことでContiの内部データが流出したことが背景にあるということです。
米英がTrickbotグループのロシア人7人を制裁指定
イギリスとアメリカの当局はこのほどTrickbotグループのメンバーとする7人=写真(出典:Ransomware criminals sanctioned in joint UK/US crackdown on international cyber crimeより)に対して制裁指定したことを明らかにしました。7人はいずれもロシア人で、Trickbotグループの幹部や開発関係者、マネーロンダリングや詐欺プロジェクトさらにサイバー攻撃の実行者、マネージャーや管理者らです。アメリカ当局はこれら7人をロシアを拠点とするTrickbotサイバーギャングという表現で制裁指定しているので、Wizard Spiderのメンバーと見られますが、UNC1878との関係やRyukやContiとの関係については必ずしも明確ではありませんが、7人の制裁指定に関する発表ではContiやRyukについても触れており、イギリス当局の発表ではContiに関し①金銭的な動機に基づいているグループ②ロシア情報機関と関係のある可能性が高い③EvilCorpやRyukランサムウェアの責任者など他のサイバー犯罪者と広範なつながりを持っている可能性がある―などNCSC(国家サイバーセキュリティセンター)の評価を示していることから制裁指定をした7人とConti、Ryukは関係があると考えられます。
アメリカとイギリスがサイバー犯罪者に対して共同で制裁指定をするのは初めてだということです。度重なるランサムウェア攻撃に業を煮やした両国が手を取り合ってその対応に乗り出したと言え.るでしょう。
■出典
https://attack.mitre.org/groups/G0102/
https://www.trendmicro.com/ja_jp/what-is/ransomware/ryuk-ransomware.html
https://home.treasury.gov/news/press-releases/jy1256
https://www.gov.uk/government/news/uk-cracks-down-on-ransomware-actors