FBIは月曜日、国際的な合同捜査の結果、ランサムウェア「Radar/Dispossessor」のサーバーとウェブサイトを押収したと発表した。
この共同捜査は、英国国家犯罪局、バンベルク検察庁、バイエルン州刑事警察局(BLKA)と共同で実施された。
法執行機関は、radar[.]tld、dispossessor[.]com、cybernewsint[.]com(偽ニュースサイト)、cybertube[.]video(偽ビデオサイト)、dispossessor-cloud[.]comを含む、3つの米国サーバー、3つの英国サーバー、18のドイツサーバー、8つの米国ベースのドメイン、および1つのドイツベースのドメインを押収しました。
2023年8月以降、Dispossessorは、Brainとして知られる脅威行為者によって、世界中のさまざまな分野の中小企業を標的としており、米国、アルゼンチン、オーストラリア、ベルギー、ブラジル、ホンジュラス、インド、カナダ、クロアチア、ペルー、ポーランド、英国、アラブ首長国連邦、ドイツの数十社(FBIは43の被害者を特定)を攻撃したと主張しています。
FBIによると、このランサムウェア集団は、脆弱性、脆弱なパスワード、アカウントに設定された多要素認証の欠如によってネットワークに侵入する。被害者のネットワークにアクセスした後、彼らはデータを盗み、会社のデバイスを暗号化するためにランサムウェアを展開する。
「犯人はシステムにアクセスすると、管理者権限を取得し、ファイルへのアクセスを容易にした。そして、実際のランサムウェアを使って暗号化を行った。その結果、企業は自社のデータにアクセスできなくなった」とFBIはプレスリリースで述べている。
「企業が攻撃を受けると、犯行グループと連絡を取らなかった場合、犯行グループはメールや電話を通じて被害企業の他の従業員に積極的に連絡を取る。電子メールには、以前に盗まれたファイルが提示された動画プラットフォームへのリンクも含まれていた。”
FBIはまた、過去の被害者や標的となった人々に対し、ic3.govのインターネット犯罪苦情センターまたは1-800-CALL FBIに連絡して、Dispossessor一味に関する情報を共有するよう求めている。
このサイバー犯罪グループは、発足当初は恐喝グループとして活動し、ロックビット社のランサムウェア攻撃で盗まれた古いデータを再投稿していた。Dispossessorはまた、他のランサムウェアオペレーションからのリークを再ポストし、様々なブリーチマーケットやBreachForumsやXSSのようなハッキングフォーラムで販売しようとしています。
“Dispossessorは当初、約330人のLockBit被害者のデータが再び利用可能になったと発表しました。これは、以前利用可能だったLockBit被害者のデータを再投稿したもので、現在はDispossessorのネットワーク上でホストされているため、LockBitの利用制限の対象外になっていると主張している」とSentinelOneは4月のレポートで述べている。
「Dispossessorは、Cl0p、Hunters International、8baseなど、以前は他のオペレーションに関連していたデータを再投稿しているようです。我々は、Dispossessorにリストアップされた少なくとも12人の被害者が、他のグループによって以前にリストアップされたものであることを知っている。
2024年6月から、脅威行為者は流出したLockBit 3.0暗号化ツール[VirusTotal]を独自の暗号化攻撃に利用し始め、攻撃の範囲を大幅にエスカレートさせました。
この1年間、法執行機関の活動は、暗号通貨詐欺、マルウェア開発、フィッシング攻撃、クレデンシャルの窃盗、ランサムウェアの操作など、他の多くのサイバー犯罪活動を標的としてきた。
例えば、LockerGoga、MegaCortex、HIVE、およびDharmaを展開するランサムウェア・グループであるALPHV/Blackcatランサムウェア、Ragnar Lockerランサムウェア作戦、およびHiveランサムウェアに侵入し、破壊し、解体するためにハックバック戦術を使用してきた。
Comments