-
Analyst's Choice
2FA
Cyber Intelligence
EDR
GmailとMS 365の利用者は注意を:フィッシングキット「Tycoon 2FA」の概要と対策
Rory
2024.04.16
-
Analyst's Choice
AI
ChatGPT
Cyber Intelligence
DarkGPT – ChatGPT-4を活用した、流出データベース検出のためのOSINTツール
Rory
2024.04.15
-
Analyst's Choice
Cyber Intelligence
GitHub
Intelligence
脅威アクターがGitHubを不正な目的で悪用するケースが増加
Rory
2024.02.07
ALPHVはテイクダウンされたのか?時系列で見るこれまでの動向
(情報源:BleepingComputer、Vx-Underground)
米司法省は火曜、FBIがALPHV/BlackCatランサムウェアグループのサーバーへ侵入し、複数の復号鍵を入手することに成功したと発表。またFBIはALPHVのリークサイトのドメインを差し押さえ(”seize”)、リークサイトに複数法執行機関のロゴと差し押さえ成功のメッセージを表示させた。しかしこれに対し、ALPHVは差し押さえを解除(”unseize”)したと主張。これを受けてFBIも再び差し押さえを実施、そしてまたもやALPHVは差し押さえを解除したとされる。マルウェア研究者集団のVx-Undergroundが日本時間12月20日午前9:30頃にXへ投稿した内容によると、「差し押さえ」「差し押さえ解除」の応酬はおよそ4回繰り返されているという。
時系列で見る、ALPHV/BlackCatサイト差し押さえまでの動向
今回の米司法省の発表に先駆けて、ALPHVをめぐっては、突如リークサイトが停止する、法執行機関がサイトを停止させたとの噂が出回る、ALPHVがこれを否定する、LockBitがALPHVのアフィリエイトを引き抜こうとする、などさまざまなイベントがあった。以下に、BleepingComputerの記事とVx-Undergroundの投稿をもとにこれまでの流れをまとめた。
・12月8日:BleepingComputerが「ALPHV ransomware site outage rumored to be caused by law enforcement」と題した記事を公開。ALPHVランサムウェアのリークサイトが7日の投稿を最後に突如停止したことや、これにFBIが関与しているとの噂が出回っていることなどを報じる。
・12月9日:Vx-UndergroundがXに投稿し、前日にALPHVの管理スタッフとサイトの障害について話した旨、同スタッフからホスティングプロバイダーで問題が生じていると伝えられた旨を述べる。
・12月11日:セキュリティ研究者のDominic Alvieri氏とBrett Callow氏が、ALPHVのリークサイトがオンラインに戻ったとXに投稿。Callow氏は、サイト停止以前に掲載されていた被害組織が削除されていることにも言及。
・12月13日:LockBitランサムウェアがALPHVおよびNoEscapeのアフィリエイトをリクルートし始めているとBleepingComputerが報道。
・12月19日(日本時間21:26):ALPHVのドメインが差し押さえられる。
ALPHV/BlackCatランサムウェアのリークサイトがFBIなどに差し押さえられたとの速報。
※ただし、引用元の投稿には"これは古いonionサイトで新たなonionサイトはまだ生きているようだ"、とのリプライあり https://t.co/Vm0Jg9vQbW
— Machina Record (@MachinaRecord) December 19, 2023
・12月19日(日本時間21:42):ALPHVは、差し押さえられたのは古いドメインなので問題ないと主張。Vx-UndergroundはXに投稿し、ALPHVランサムウェアグループがサーバーとブログを移転させたと述べている旨を報告。
・12月19日(日本時間23:56):米司法省がALPHVのドメインを差し押さえたこととサーバーの侵害に成功したことに関する公式声明をリリース。
・12月20日(日本時間2:34):ALPHVがドメインの差し押さえを解除。また、これまで禁じていた重要インフラへの攻撃をアフィリエイトに許可し、これにより米国および関連する諸組織に対して報復すると脅す。
FBIの関与により3,000超の被害組織の復号鍵が失われた、とALPHV
FBIはサイト差し押さえ前に、ALPHVが利用していたTorサービス用の公開・秘密鍵のセット946組を入手したと主張。これらのセットは、ALPHVが被害組織との交渉サイトやリークサイト、およびアフィリエイト向けパネルをホストするのに使われていたものだという。
ALPHVのネットワークへの侵入に成功したFBIは、数か月間にわたり同グループの活動を密かにモニタリングしつつ、復号鍵を入手。これにより、500組織が無償でファイルを復元でき、およそ6,800万ドル相当の身代金が支払われずに済んだという。
一方でALPHVは、FBIはおよそ400社分(1か月半分)の復号鍵しか入手できなかったと主張し、FBIの行動によってその他の被害組織3,000社の復号鍵が失われてしまったと述べているとされる。
今後も注視を
FBIによる侵入を許してしまったALPHVだが、すでにサーバーとブログは移転されており、新たなサイトはアクティブな状態だとされる。したがって同グループの活動は今後も続く可能性がある上、米国などへの報復として重要インフラ組織(病院や原子力発電所など含む)への攻撃が解禁されたことから、同グループによってこれまで以上に大きな被害がもたらされる危険性もある。
vx-undergroundによると、ALPHVランサムウェアグループは、サーバーとブログを移転させたと述べているという。
(FBIが差し押さえたのは古い方のサイトのみとみられ、移転先の新たなサイトは今もアクティブな模様) https://t.co/e7AbC8vtDr— Machina Record (@MachinaRecord) December 19, 2023
一方で、ALPHVに対する信頼を失ったアフィリエイトらが、LockBitへと鞍替えすることも考えられ、その場合ALPHVの勢力は弱まることもあり得る。いずれにせよ、ALPHVの動向は今後も注視しておくべきと言えそうだ。
