制裁、テイクダウン、リブランド？：EvilCorpとRansomHubの関係性や今後への影響

佐々山 Tacos

2025.04.03

制裁、テイクダウン、リブランド？：EvilCorpとRansomHubの関係性や今後への影響

@BushidoToken Threat Intel – April 02, 2025

セキュリティ研究者のBushidoToken氏が、サイバー犯罪グループEvilCorpとランサムウェア・アズ・ア・サービス（RaaS）グループRansomHubの結びつきや、両者の関係性が今後のランサムウェアランドスケープに及ぼし得る影響などについてブログ記事で解説した。

EvilCorpとは？

EvilCorpはロシアの諜報機関との密接な繋がりを持つとされる国際的なサイバー犯罪ネットワークで、これまでに大規模な金融系サイバー攻撃の数々を組織的に実行してきた。ランサムウェア関連では、BitPaymer、WastedLocker、Hadesなどを開発していることや、上位メンバーとされるハッカーがLockBitランサムウェアのアフィリエイトとして被害組織から身代金を脅し取っていたことなども報告されている。RaaSアフィリエイトとしての特徴は、JavaScriptマルウェア「SocGholish」（別称：FAKEUPDATES）と独自に連携している点。したがって、SocGholish感染に続いてランサムウェアが展開される攻撃は、EvilCorp関連のアクターによるものであると考えられるという。

EvilCorpとRansomHubの関連性

EvilCorpはRansomHubのアフィリエイトでもあるとみられ、例えば2024年7月、マイクロソフトはEvilCorp（マイクロソフトは「Manatee Tempest」と呼称）による侵害後の活動の中で、RansomHubのランサムウェアがデプロイされる様子を確認した旨を報告している。なおこの攻撃でも、初期アクセスはSocGholishへの感染によるものだったとされる。

またGuidepointやGoogleによる2025年1月のブログ記事では、RansomHubランサムウェアが展開される攻撃において、SocGholishを用いて新たなPythonバックドアが配布されていることが報告されている。Googleが「VIPERTUNNEL」と名付けたこのバックドアも、EvilCorpと関連している可能性があることから注視しておく価値がありそうだという。さらに3月にはトレンドマイクロが、SocGholishへの感染がRansomHubの展開に繋がることを裏付ける情報を公表。同社もSocGholishがVIPERTUNNELをドロップする様子を観測したことを伝えている。

EvilCorpとRansomHubの結びつきが招き得る今後の展開

BushidoToken氏は、EvilCorpが米国の制裁対象となっていることと、RansomHubが現在最もアクティブなランサムウェアグループとしての地位を確立していることを理由に、両者の結びつきは極めて重要な意味を持つと指摘。今後起こり得る展開として、以下を挙げた。

RansomHubグループもEvilCorpに科されているのと同様の制裁を受ける可能性がある。
RansomHubが制裁対象となった場合、攻撃を受けて同ランサムウェアグループに身代金を支払う組織は意図せず制裁違反を犯す可能性がある。その場合、被害組織に関連するサイバー保険業者やインシデント対応請負業者、ランサムウェア交渉人にとってのリスクが高まる。
EvilCorpが国際的に法執行機関に追われる身であることを考えると、RansomHubに対する監視の目もより厳しくなる算段が高く、同ランサムウェアに対してテイクダウンなどのアクションが実施される可能性がある。
EvilCorpとの関係性が暴かれて制裁を科される恐れが出てくると、RansomHubは自身のビジネスモデルに影響が出て利益を出しづらくなることを危惧し、新たなランサムウェアへのリブランドを行う可能性がある。