BlackCatランサムウェアが差し押さえをでっち上げ　アフィリエイトのカネを持ち逃げか

BlackCatランサムウェアが差し押さえをでっち上げ　アフィリエイトのカネを持ち逃げか

（情報源：BleepingComputer）

ALPHV/Blackcatランサムウェアグループがリークサイト上に虚偽の差し押さえバナーを表示し、FBIによるサイトおよびインフラのテイクダウンをでっち上げ。ハッカーフォーラムにおいて、「FBI」が原因で「プロジェクトを終了させる」決断をしたと述べているという。この行為の目的は、身代金をアフィリエイトに分配せずに持ち逃げする「出口詐欺」の実施にあるとみられ、同グループは現在、マルウェアのソースコードを500万ドルで販売している。

出口詐欺作戦は先週金曜に開始

ALPHVの出口詐欺作戦が始まったのは、同グループがTorのデータリークサイトをオフラインにした先週金曜日だったとされる。その後、米国の医療プラットフォーム「Change Healthcare」の運営元であるOptum社を攻撃したアフィリエイトが「ALPHVに身代金を持ち逃げされた」と訴える中、同グループは今週月曜、「すべてをオフにする」決定をしたと述べて身代金交渉用サーバーもシャットダウンしていた。

※詳しくはこちらの記事で：

過去の差し押さえバナーを転用か

そして5日火曜、ALPHVのリークサイトに、「このWebサイトは差し押さえられた」というメッセージと共に複数の法執行機関のロゴが並んだバナーが出現。

The new ALPHV BlackCat leak site has just been seized by law enforcement. pic.twitter.com/ZRTYuoi6Cm

— Dominic Alvieri (@AlvieriD) March 5, 2024

これを受け、ランサムウェア専門家のFabian Wosar氏は「ALPHV/BlackCatは差し押さえられていない。アフィリエイトに対して出口詐欺を働いているのだ」と指摘。バナーのソースコードのスクリーンショットを共有し、これを見れば差し押さえが虚偽であることは明らかだと述べた。同氏はまた、ユーロポールと英国NCA（国家犯罪対策庁）に接触したが、いずれの組織にとっても今回の話は初耳のようだったと伝えている。

さらにBleepingComputerがNCAに問い合わせたところ、ALPHVのインフラを停止させる最近の取り組みには関与していないとの返答があったという。

Since people continue to fall for the ALPHV/BlackCat cover up: ALPHV/BlackCat did not get seized. They are exit scamming their affiliates. It is blatantly obvious when you check the source code of the new takedown notice. You will see code like this. pic.twitter.com/aLivk3gnMS

— Fabian Wosar (@fwosar) March 5, 2024

ALPHVといえば、昨年12月には実際にリークサイト（旧サイト）をFBIに差し押さえられていたのが記憶に新しい。Wosar氏によれば、今回の差し押さえでっち上げに使用されたバナーは、この旧サイトに表示されていたテイクダウン通知画面を転用したものだという。

ALPHV/Blackcatのレピュテーション低下は必須か

サーバーをシャットダウンし、ソースコードも売りに出してプロジェクトを終了させたとみられるALPHV/Blackcat。このグループが今後、別の名称のもとで新たなランサムウェアオペレーションを始動させるつもりなのかどうかは、現時点で定かではない。しかし、今回の騒動を受けてALPHV/Blackcatのレピュテーションが低下しているのは間違いないようだ。「ランサムウェア運営者が暗号化ツールを提供し、アフィリエイトがこのツールを用いて実際の攻撃を行い、身代金を山分けする」というRaaSの仕組みがある以上、今後ALPHVがリブランドして復活したとしても、同グループのもとで働きたがるアフィリエイトがいるのかどうかは疑わしいとされている。