近年、ランサムウェアを用いた企業や政府機関に対する攻撃が活発化しており、2021年5月にはアメリカ最大の石油パイプライン運営会社「Colonial Pipeline」や世界最大の食肉加工会社「JBS」といった生活に深く関係する企業が相次いでランサムウェア攻撃の被害を受けました。2021年7月には、これらの攻撃に使用されたランサムウェアの機能を組み合わせて強力なランサムウェアを開発したと主張するサイバー犯罪グループ「BlackMatter」が犯罪フォーラムに登場。このBlackMatterに対してサイバー攻撃関連メディアのThe Recordがインタビューを実施し、その内容を公開しています。
BlackMatter ransomware targets companies with revenue of $100 million and more – The Record by Recorded Future
https://therecord.media/blackmatter-ransomware-targets-companies-with-revenues-of-100-million-and-more/
An interview with BlackMatter: A new ransomware group that’s learning from the mistakes of DarkSide and REvil – The Record by Recorded Future
https://therecord.media/an-interview-with-blackmatter-a-new-ransomware-group-thats-learning-from-the-mistakes-of-darkside-and-revil/
2021年7月にサイバー犯罪フォーラムに登場したBlackMatterは、フォーラムへの投稿の中で年間1億ドル(約110億円)以上の収益を上げている企業を攻撃対象としていると宣言しています。しかし、The Recordによると記事作成時点ではBlackMatterによる攻撃は1件も確認されていないとのこと。The Recordの「BlackMatterが登場して以来、BlackMatterによるサイバー攻撃は1件も確認されていません。あなたたちは、新開発のランサムウェアをいつ頃から開発し始めたのですか?」という質問に対して、BlackMatterは「ランサムウェアの開発は6カ月前から始まりました。すでに複数の企業と身代金の交渉を行っています。私たちは交渉が失敗しない限り攻撃を公表することはありません」と回答しています。
BlackMatterによると、新開発のランサムウェアは主に「LockBit」「REvil」「Darkside」の3種類のランサムウェアを参考にしているとのこと。BlackMatterは「LockBitはコード自体は優れていますが、実際にはあまり良く機能しません。例えるなら、エンジンは優れているのに内装が貧弱な日本車のようです。私たちはLockBitのコード実装アプローチをいくつか取り入れています」「REvilは全体的に高い実績を持つランサムウェアです。私たちはREvilを参考にランサムウェアのPower Shell版を開発しました」「Darksideは優れたコードベースと興味深いウェブパーツを備えています。Darksideの暗号化機能は大いに参考になりました」と、それぞれのランサムウェアの特徴や参考にした点を解説しています。
上記の3種のランサムウェアのうち、Darksideを開発していた犯罪グループはColonial Pipelineを攻撃した数日後に「所有していた暗号資産を何者かによって未知の口座に送金されてしまった」として店じまいを宣言。さらに2021年7月13日には、JBSを攻撃したREvilを開発していた犯罪グループのウェブサイトが突然閉鎖されました。このウェブサイト閉鎖には、アメリカのバイデン大統領がランサムウェア攻撃への対策をテロ対策と同等の優先度に位置づけたことや、バイデン大統領がロシアのプーチン大統領に対して「サイバー攻撃の禁止区域」を示したことなどが影響していると考えられています。
アメリカがランサムウェア攻撃への対応の優先度をテロと同等にまで引き上げる – GIGAZINE
The Recordは上記の状況を踏まえて「最近、DarksideやREvilを開発した大手サイバー犯罪グループが業界から姿を消しました。この一連の動きには、アメリカやロシアによるサイバー攻撃への対応の変化が影響していると多くの専門家が指摘しています。これは事実でしょうか?そして、BlackMatterも同じ運命をたどると思いますか?」と質問。これに対してBlackMatterは「私たちは、大手サイバー犯罪グループが撤退したことには、それらの攻撃対象や世界の地政学的状況が関係していると考えています。しかし、私たちは攻撃対象を厳選し、重要なインフラ施設や医療機関、政府機関に対する攻撃は行いません。このため、政府からの注目を避けられると考えています」と回答。また、「Colonial PipelineやJBSに対して実行された攻撃についてどう思いますか?このような大規模なネットワークを攻撃することは理にかなっていますか?」という質問に対しては、「それらへの攻撃は、DarksideとREvilが撤退する重要な要因になったと思います。私たちはそのような攻撃を禁止しています」と述べ、BlackMatterが攻撃対象を厳選していることを強調しています。
実際に、BlackMatterが管理するサイトには「発電所や水道局といったインフラ施設」「石油・ガスのパイプラインや精錬所」「防衛設備」「非営利団体」「政府機関」に対する攻撃を行わない旨が記されています。これらの条件を踏まえた上で最終的に攻撃対象を決定する判断基準について尋ねられたBlackMatterは「その対象を攻撃することで私たちに悪影響が出ないかを総合的に判断して、攻撃対象を決定しています」と回答しています。
最後に「あなたたちの秘密を教えてください」と問われたBlackMatterは、「私たちに秘密はありません。私たちは祖国を信じ、家族を愛し、子供たちのためにお金を稼いでいます」と回答しています。
なお、BlackMatterの拠点は明らかにされていませんが、インタビューはロシア語で実施されたとのことです。
この記事のタイトルとURLをコピーする
・関連記事
ワクチン予約システムがランサムウェア攻撃でダウン、被害を受けたイタリアの州知事は「テロリスト」とハッカーを非難 – GIGAZINE
44億円以上のマネーロンダリングを行った犯罪グループが仮想通貨取引所の独自調査により摘発 – GIGAZINE
石油パイプラインにランサムウェア攻撃を仕掛けた犯罪者グループ「DarkSide」はどのような活動を行っているのか? – GIGAZINE
世界を脅かす北朝鮮のサイバー攻撃能力はどれほど強力なのか? – GIGAZINE
石油パイプラインへサイバー攻撃を行った集団が「目的は金を稼ぐことで社会に問題を起こすことではない」と声明を発表 – GIGAZINE
ランサムウェアに支払われた身代金の詳細をまとめるウェブサイト「Ransomwhere」 – GIGAZINE
・関連コンテンツ
