ランサムウェアグループ「DarkSide」消滅か。サーバーが押収、運営停止。身代金を返金予定

ランサムウェアグループ「DarkSide」は運用しているサーバーへのアクセスができなくなり、暗号通貨が未確認人物のウォレットに送金されたため運用を停止したとされています。

Recorded Futureの研究者であるドミトリー・スミヤネッツは、「Darkside」のライバルであるランサムウェアギャング「REvil」の代表者である「UNKN」と呼ばれる人物が、Exploitハッキングフォーラムで共有したものとしています。

https://therecord.media/darkside-ransomware-gang-says-it-lost-control-of-its-servers-money-a-day-after-biden-threat/

この投稿の中で「Unkn」は、DarkSideからとされるメッセージを共有し、法執行機関の措置により脅威組織が公開データ漏洩サイト、支払いサーバー、CDNサーバーへのアクセスができなくなったと説明しています。

我々は数時間前、我々のブログ、支払いサーバー、DOSサーバーなどのインフラへのアクセスを失いました。現在、これらのサーバーはSSHで利用できず、ホスティングパネルもブロックされています。ホスティングサポートは、「法執行機関の要請による」という情報を除いて、他の情報を提供していません。ロシア政府がこの対応に関与しているとは思っていません。

これはバイデン大統領がホワイトハウスでの記者会見で、ランサムウェアのネットワークを抱えている国は、そのネットワークを停止させるために行動を起こす必要があると述べた翌日に起こりました。

米国、ランサムウェアの米国最大パイプライン被害により緊急事態宣言

バイデン氏は、コロニアル・パイプラインの攻撃についての記者会見で、「我々はロシア政府と直接連絡を取り合い、責任ある国がこれらのランサムウェア・ネットワークに対して断固とした行動を取ることが必要であることについてモスクワと直接連絡を取っている」と述べています。

昨日から、セキュリティ研究者やジャーナリストの間で、DarkSideデータ流出サイトへのアクセスができなくなったことが指摘されており、法執行機関がサーバーを押収したのではないかと推測されています。

darkside-site-down

しかしDarkSideのTor決済サーバーがまだ稼働しているようです。法執行機関がサーバーを押収した場合、被害者が暗号解読のための復号システムにアクセスできるようにサーバーを稼働させていたのかもしれません。

やめるやめる詐欺?

米国政府からの発表がまだないことから、ランサムウェア「DarkSide」のメンバーが「やめるやめる詐欺」をしているだけではないかとも推測されています。

バイデン大統領の発言を隠れ蓑にして、BrenntagとColonial Pipelineのランサムウェア攻撃で合計940万ドル(9.4億円)の身代金の支払いがあったので、インフラをシャットダウンして、協力者の資金を払わずに逃げ出す=サイバー犯罪のアンダーグラウンドでは「Exit Scam」と呼ばれる戦術を取っている可能性があります。

ドイツの化学薬品流通会社、ランサムウェアグループ「DarkSide」に4.4億円支払う

DarkSideが協力者プログラムを閉鎖

Intel471は、DarkSide社のランサムウェア・アズ・ア・サービス(RaaS)の協力者に送られたメッセージの全文が公開されました。

https://www.intel471.com/blog/darkside-ransomware-shut-down-revil-avaddon-cybercrime

このメッセージによると、DarkSide社は「米国からの圧力により」公開サーバーへのアクセスができなくなったため事業の閉鎖を決定しました。

Intel471が入手した翻訳されたメッセージの全文は以下の通り

数時間前、我々のブログ・支払いサーバ・CDNサーバなどのインフラの部分へアクセスできなくなりました。

現在、これらのサーバーにはSSHでアクセスできず、ホスティングパネルもブロックされています。

ホスティングサポートサービスからは「法執行機関の要請があった」とのみを通達し、一切の情報を提供してもらっていません。

また、それから数時間後に決済サーバから知らない人物の口座に資金が引き出されていました。

現在の問題を解決するため、まだ身代金を支払っていないすべての会社の復号化ツールを提供します。

被害に遭われたユーザーの皆様との問題解決のために身代金を返金します。補償の目安は5月23日です(ロシア語圏のハッキングフォーラム「XSS」で10日間預託金を保留することになっているため)。

米国からの圧力もあり以上のことから協力者プログラムは終了します。安全にお過ごしください。

ランディングページやサーバーなどのリソースは48時間以内に削除されます。

協力者が行った攻撃の被害者には暗号から回復できる復号システムが提供されるということです。これらの復号システムを使えば協力者はDarkSideとの提携しなくても自ら被害者を恐喝できるようになります。

REvilランサムウェアグループがルール変更、Avaddonも追従

いままでREvilランサムウェアグループは、攻撃する相手に関して何の躊躇もしていませんでしたが、今回のDarkSideの消滅が報告された後、REvilは暗号化できる相手を選択するようにルールを追加したとしています。

REvilの代表者であるUNKN氏によると、協力者は組織を標的にするためにまず「REvil」の許可を得ることが必要になり、以下の団体を標的にすることはできなくなったとのことです。

  1. 社会部門(医療、教育機関)での活動が禁止
  2. いかなる国の政府機関(国家)への働きかけも禁止

さらにDarksideの声明(現在は削除)を引用した投稿の中で、自分たちもRansomware-as-a-Serviceプラットフォームの広告を停止し、「非公開化」する予定であると述べています。

また、REvilグループは、医療、教育機関、各国の政府ネットワークなど、社会的に重要な分野への攻撃をやめる予定であると述べています。これらの分野は、現在Darksideの活動が世界中でが注目されてしまっているように、自分たちの活動に望ましくない注目を集める可能性があると考えているためと推測されています。

REvilは、協力者がこのような攻撃を行った場合、被害者に復号鍵を無償で提供するとともに問題のある系列会社との協力関係を停止する予定だと述べており、さらにREvilの発表の数時間後に、ランサムウェア「Avaddon」の運営者も同様のアップデートを発表。

ランサムウェアグループが政府機関、医療機関、教育機関を攻撃することを禁止する条項が盛り込まれました。

このようなランサムウェアグループの行動の変化は、誰が何をしているのかはわからないもののColonial Pipelineへの攻撃とその余波を受けて米国当局がこれらのグループに何らかの圧力をかけ始めたことは明らかだとしています。

Ransomware-as-a-Service(RaaS)は、これまで、協力者は事前の承認を得ずに好きな被害者を暗号化できるという自由な活動を行ってきましたが、今回の新ルールにより協力者が制限の少ない他のRaaS事業に移行するかどうか注目されています。

Leave a Reply

Your email address will not be published.