ウクライナ警察、ランサムウェア「Clop」のメンバーを逮捕:ウクライナ・韓国・米国の共同作戦によりサーバーインフラを押収

ランサムウェアグループ「Clop」の一味と思われる複数の容疑者が、ウクライナ・韓国・米国の共同作戦によりウクライナで拘束されたことがわかりました。

https://www.npu.gov.ua/news/kiberzlochini/kiberpolicziya-vikrila-xakerske-ugrupovannya-u-rozpovsyudzhenni-virusu-shifruvalnika-ta-nanesenni-inozemnim-kompaniyam-piv-milyarda-dolariv-zbitkiv/

今回の逮捕はウクライナ国家警察とサイバー警察が発表したもので、首都キエフとその周辺地域にある21軒の住宅を捜索した後に容疑者を逮捕しました。

今回の捜索では、過去の攻撃に使用されたサーバーの停止にも成功したとのことです。

コンピューター、スマートフォン、サーバー機器などが押収され、ランサムウェアの身代金と思われる1800万円=500万ウクライナ・グリブニヤ(18万5,000ドル)も押収されました。

また、メンバーの自宅からはテスラ、メルセデス、レクサスなどの高価な車が数台も押収されたとのことです。

発表によると、Clopグループのメンバー6人を逮捕しましたが、Clopグループ全体における役割については詳しく述べていません。有罪となれば、最高で8年の懲役刑が科せられる予定となっています。

ランサムウェア「Clop」を使ったサイバー攻撃は、2019年2月の時点が初回の攻撃とされています。

https://malpedia.caad.fkie.fraunhofer.de/details/win.clop

このグループは「ビッグゲーム・ハンター」と呼ばれるグループに分類されるもので、家庭の消費者ではなく大規模なITネットワークのみを狙うランサムウェアグループの一種です。

Clopグループは、2年以上にわたる活動で多くの大企業に侵入し、被害者1人あたり最大で数千万ドルの支払いを要求していたこともありました。

企業が支払いを拒否すると、Clopグループは二重恐喝の手口を用いて被害者のデータをダークウェブの「リークポータル」に公開すると脅迫していました。

2020年11月のFox-ITのレポートによると、ClopグループはTA505と呼ばれるマルウェアグループと密接な関係にあり、メンバーが以前にSDBbotマルウェアに感染したコンピュータにClopランサムウェアを展開することがよくあると分析していました。

今回の逮捕は、ランサムウェア「Clop」が韓国の企業4社に侵入しファイルを暗号化、巨額の支払いを求めた2019年に開始された捜査によるものです。

https://www.fireeye.com/blog/threat-research/2021/02/accellion-fta-exploited-for-data-theft-and-extortion.html

韓国警察は昨年2020年11月にClopが韓国の電子商取引大手E-Landのネットワークに侵入し、ほぼすべてのサイトを閉鎖せざるを得なくなったことを受け捜査を強化していました。

今回行われたClopの容疑者の家宅捜索では、韓国の警察官も現地で立ち会っていました。

Leave a Reply

Your email address will not be published.