DoJ

ベラルーシ・ウクライナ国籍のマクシム・シルニカウがスペインで逮捕され、2021年にランサムウェア「Ransom Cartel」を作成し、2013年から2022年にかけて不正広告活動を行った容疑で米国に送還された。

この脅迫者は、ロシア語圏のハッキングフォーラムで「J.P.モルガン」、「xxx」、「lansky」という偽名で活動し、サイバー犯罪を宣伝していたとされる。

当局は2つの別々の起訴状を公開した。1つはニュージャージー州地区での不正広告活動に関するもので、もう1つはバージニア州東部地区での身代金カルテル活動に関するものである。

共謀者のヴォロディミル・カダリヤ(ベラルーシ人とウクライナ人、38歳)とアンドレイ・タラソフ(ロシア人、33歳)も、不正広告活動での役割で起訴された。

「ニュージャージー州のフィリップ・R・セリンジャー連邦検事は、「これらの共謀者は、世界中の何百万人もの無防備なインターネット・ユーザーのコンピューターにマルウェアを配布するために、複数年にわたる計画を行っていたとされている。この計画を実行するために、彼らは悪意のある広告、すなわち “malvertising “を使い、被害者を騙して合法的に見えるインターネット広告をクリックさせた。

英国の国家犯罪対策庁は本日、シルニカウが2023年7月18日にスペインで逮捕されたと発表した。

NCAがコーディネートした国際的な作戦により、世界で最も多発するロシア語を話すサイバー犯罪者の一人と思われる男が逮捕され、身柄が引き渡された。

身代金カルテルの活動

Ransom Cartelは2021年12月に開始されたランサムウェアで、REvilファミリーとコードの類似性が高い

強力な難読化がないことから、同じサイバー犯罪者チームによるリブート/リブランドではなく、REvilに見られる難読化エンジンが欠けていた中心メンバーの創作であるとアナリストは推測している。

起訴状によると、シルニカウはRansom Cartelを創設・管理し、「ransomware-as-a-service」の運営を管理し、ロシア語圏のフォーラムから他のサイバー犯罪者を募って攻撃に参加させていた。

彼はまた、侵害された企業ネットワークへのアクセスを提供し、被害者とのコミュニケーションを管理し、身代金の支払いを処理する「イニシャル・アクセス・ブローカー」(IAB)と交渉した。

シルニカウはまた、身代金の支払いを暗号通貨ミキサーを通じて送金し、金銭の痕跡を見えなくして法執行活動を複雑化させるなど、明らかに作戦の中心的役割を担っていた。

Ransom Cartel ransom note
Ransom Cartel ランサムノート
Source

Revetonランサムウェア

NCAはまた、シルニカウが悪名高いRevetonトロイの木馬(身代金を支払うまでユーザーをオペレーティングシステムから締め出すWindowsマルウェア)の背後にいたとしている。

このマルウェアは2011年に登場し、児童ポルノや著作権で保護された資料が検出されたため、法執行機関がコンピュータをロックしているように見せかけた。

コンピュータにアクセスするためには、被害者はMoneyPak、PaySafeCard、またはその他のオンライン決済を介して身代金を送る必要がありました。

Example of the Reventon trojan impersonating the US NSA
米国NSAになりすましたReventonトロイの木馬の例
Source

このマルウェアは、主にイギリスとアメリカの法執行機関になりすましていました。

2012年から2014年にかけて、Revetonは他のサイバー犯罪者に販売され、エクスプロイトキットで侵害されたサイトを通じて大量に配布されました。

NCAによると、Revetonの活動は2011年から2013年の間に40万ドルを生み出したという。

この作戦の成功はまた、他のサイバー犯罪者にUrausyや Harasomランサムウェアファミリーなど、多くの場合Revetonと見分けがつかない類似のロッカーを起動させることに拍車をかけた。

悲しいことに、このマルウェアは大成功を収め、自分が刑務所行きになることを恐れて自分と息子の命を奪った者もいた。

不正広告活動

被告はまた、2013年10月から2022年3月にかけて、大規模な不正広告計画を指揮し、実行した疑いがある。

彼の主な責任は、合法的に見えるが、Internet Explorerエクスプロイトキット、マルウェア、スケアウェア、オンライン詐欺を含むサイトにユーザーをリダイレクトする悪質な広告を開発し、配布することであった。

具体的には、以下のものを配布していました:

  • Angler Exploit Kit(AEK):アングラー・エクスプロイト・キット(AEK):ウェブ・ブラウザやプラグインの欠陥を悪用し、侵害されたデバイス上に追加のペイロードを配信するように設計されています。
  • Locker マルウェア:被害者がデータにアクセスできないようにする一種の「ライト」ランサムウェア・ツールで、多くの場合、アクセスを回復するための支払いを要求する。
  • スケアウェア:偽のアラートによって被害者のコンピュータに感染を申し立て、有害なソフトウェアをダウンロードさせたり、サイバー犯罪者に個人情報を提供させたりする詐欺ツール。

シルニカウは、悪用された広告プラットフォームを欺くために、さまざまなオンライン上の偽名や偽の会社を使用し、このスキームによって侵害されたデバイスへのアクセス権の販売に直接関与していた。

さらに彼は、悪意のあるキャンペーンをより効果的に管理し、ターゲットを絞るために、トラフィック配信システム(TDSes)などの技術インフラの開発と維持にも協力していた。

「最盛期には、Anglerは全エクスプロイトキット感染の40%を占め、約10万台のデバイスを標的とし、推定年間売上高は約3,400万ドルでした。- NCA

マクシム・シルニカウは、電信詐欺、コンピュータ詐欺、コンピュータ詐欺および不正使用、加重個人情報窃盗、アクセス機器詐欺の禁固刑を含む、両起訴状の罪状に基づく重大な法的結果に直面している。

シルニカウは、全容疑で有罪判決を受けた場合、100年を超える懲役刑に処される可能性があるが、刑期は同時服役のため、通常はもっと短くなる。