BlackCatランサムウェアがサーバー停止 アフィリエイトは同グループに身代金2,200万ドルを持ち逃げされたと主張
(情報源:BleepingComputer)
アフィリエイトを裏切って2,200万ドルの身代金を持ち逃げした疑惑のあるALPHV/BlackCatランサムウェアグループが、自身のサーバーをシャットダウン。リークサイトは先週金曜からダウンしているほか、週末にかけてはまだアクティブだった交渉サイトも現在では閉鎖されているという。
ALPHV/BlackCatの身代金持ち逃げ・出口詐欺疑惑:大まかな流れ
ALPHVに身代金を盗まれたと訴えるアフィリエイトの主張に基づいて今回の動きを大まかにまとめると、以下のようになる:
①アフィリエイトがOptumを攻撃
今回の疑惑の発端は、RaaSグループであるALPHVのアフィリエイトがOptum社への攻撃を実施したこと。同社は医師と薬局、病院、患者を繋ぐプラットフォーム「Change Healthcare」を運営する米国の企業で、先月後半にサイバー攻撃被害および障害の発生が報じられていた。
②2,200万ドルの身代金が支払われる
その後3月4日、この攻撃を行ったアフィリエイトを名乗るアクター「notchy」が3月3日に投稿したメッセージとされるものを、Recorded FutureのDmitry Smilyanets氏が共有。これによれば、Optumはデータリーク回避および復号鍵入手のため、3月1日に2,200万ドルの身代金を支払ったという。
#ALPHV scamming affiliates? $22M paid and withdrawn pic.twitter.com/0ocKoXNLme
— 𝕯𝖒𝖎𝖙𝖗𝖞 𝕾𝖒𝖎𝖑𝖞𝖆𝖓𝖊𝖙𝖘 (@ddd1ms) March 4, 2024
③身代金が支払われたのち、ALPHVがアフィリエイトのアカウントを停止
RaaSプログラムのもとでは通常、運営者が暗号化ツールなどを提供し、パートナー関係にある外部のアフィリエイトが実際の攻撃を行う。そして被害組織により支払われた身代金は、RaaS運営者とアフィリエイトの間で分配される仕組みになっている(※)。
しかし上記の「notchy」のメッセージによれば、Optumが身代金を支払った後、ALPHVはnotchyのアカウントを停止させ、身代金の入ったウォレットから全額を奪ったのだという。
※RaaSのビジネスモデルについて、詳しくはこちらの記事で:
④ALPHVはサーバーをシャットダウン
前述の通り、ALPHVは先週金曜以降リークサイトを閉鎖し、月曜には身代金交渉サイトもシャットダウンしている。4日未明には、同グループ運営者が使用するメッセージプラットフォームToxに、「すべてはオフになっている、我々はそう決定している」という意味合いのロシア語のメッセージが残されていたという。その後、同じ日のうちにこのメッセージは「GG(”good game”を意味している可能性あり)」というものに書き換えられたとされる。
出口詐欺?リブランド?ALPHVの意図は不明
「Optumが身代金を支払い、それをALPHVが奪った」というのはあくまで攻撃実施者とされる「notchy」の主張で、真偽は定かではない。しかしこの主張が事実だった場合、今回のALPHVの動きは「アフィリエイトの暗号資産を盗んでRaaSオペレーションを閉鎖してしまう」という出口詐欺だったことになる。なお、過去には別のランサムウェアグループNoEscapeの出口詐欺疑惑が報じられたことがある。
一方でこのサーバー停止は「リブランド」、つまりオペレーション名を「ALPHV」から別の名称に変えて新たに活動を始動させるための措置だった可能性もある。ALPHVはもともと「DarkSide」として活動を開始して「BlackMatter」ヘリブランドしたのち、再度名称を変更して生まれたグループであることからも、今後新たに生まれ変わったとしても不思議ではない。いずれにせよ、今後の動向が引き続き注目される。
[Update:17:17, 2024-03-05]ALPHV運営陣のToxアカウントのステータス欄がまた変更され、「ソースコードを500万ドルで販売」とのメッセージが表示されるようになっているという。
【ALPHV/Blackcatランサムウェアがソースコードを販売?】
同ランサムウェアが使用するToxアカウントのステータス欄には現在、「ソースコードを500万ドルで販売」というメッセージが表示されているという。
(なおALPHVはサーバーをシャットダウンしたと報じられておりリークサイトなどがダウン中) https://t.co/bB4ItUBKXs— Machina Record (@MachinaRecord) March 5, 2024