サイバー犯罪組織Evil Corpは、米国、英国、オーストラリアから新たな制裁を受けた。米国はまた、BitPaymerランサムウェア攻撃を行ったとして、メンバーの1人を起訴した。
2019年、米国はグループのリーダーであるMaksim Yakubetsを含む、Evil Corpギャングに関連する17の個人と7つの団体を制裁した。
本日、米国財務省外国資産管理局(OFAC)は、サイバー犯罪に関連するさらに7人の個人と2つの事業体を制裁した。
三国間の措置として、英国とオーストラリアも、OFACが本日または2019年の制裁で指定したイービルコープの容疑者の何人かを制裁している。
制裁対象者は、エドゥアルド・ベンダースキー(マクシムの義父)、ヴィクトル・グリゴリエヴィッチ・ヤクベツ(マクシムの父)、アレクサンドル・ヴィクトロヴィッチ・リジェンコフ、セルゲイ・ヴィクトロヴィッチ・リジェンコフ、アレクセイ・エフゲネヴィッチ・シュチェチニン、ベヤト・エンベロヴィッチ・ラマザノフ、ヴァディム・ゲンナディヴィッチ・ポゴディン。
制裁を受けた2つの事業体は、ヴィンペル・アシスタンスLLCとソーラー・インベストLLCであり、これらは悪の組織のリーダーであるマクシム・ヤクベツの義父とされるベンダースキーが所有している。
「多数のOFAC制裁当局に指定されているロシア連邦保安庁(FSB)の元スペツナズ将校で、現在のロシア人実業家であり、Evil Corpのリーダーであるマクシム・ヴィクトロヴィッチ・ヤクベツ(マクシム)の義父であるエドゥアルド・ベンダースキー(ベンダースキー)は、Evil Corpとロシア国家との関係の重要な推進者であった」と米国財務省は発表している。
「ベンダースキーは、2019年以前、イービルコープにNATO同盟国に対するサイバー攻撃とスパイ活動を命じていたロシア諜報機関との関係の重要な支援者であった」と、NCA共同発表は主張している。
これらの制裁措置の一環として、個人の資産は凍結され、米国、英国、オーストラリアの企業はもはや彼らと取引できない。
これはまた、Evil Corpによるランサムウェア攻撃を受けた組織は、OFACの承認なしに身代金の支払いを行うことができなくなり、制裁違反に直面するリスクがあることを意味する。
Evil Corpのメンバーを特定し起訴
米国はまた、米国内の複数の被害者に対してランサムウェア攻撃を行ったとして、Evil CorpのメンバーであるAleksandr Ryzhenkov容疑者に対する起訴状も本日公開した。
Ryzhenkov は、米国内の企業に対する複数の攻撃で BitPaymer ランサムウェアを利用したことで起訴されています。BitPaymerはEvil Corpが作成した最初のランサムウェア暗号化ソフトで、2017年に攻撃に使い始めた。
「起訴状によると、少なくとも2017年6月から、Ryzhenkovは被害者のコンピュータネットワークに保存された情報に不正アクセスしたとされている。
「その後、Ryzhenkovとその共謀者は、BitPaymerとして知られるランサムウェアの株を展開し、被害者企業のファイルを暗号化してアクセス不能にするために使用したとされる。被害者のシステムに残された電子メモには、身代金の要求と、身代金交渉を開始するための攻撃者への連絡方法が書かれていた。
「Ryzhenkovとその共謀者は、被害者が身代金を支払うことで、復号鍵を入手し、機密情報がオンラインで公開されるのを防ぐことを要求したとされる。
Cronos作戦の一環として、NCAはRyzhenkovをLockBitの関連会社として特定し、その下で多数の組織を攻撃した。
“彼はまた、クロノス作戦の一環として、ロックビットのアフィリエイトであることが確認されました。”とNCAは発表している。
「同グループのシステムから入手したデータを分析した結果、彼は多数の組織に対するロックビット・ランサムウェア攻撃に関与していることが判明した。
Ryzhenkovは、OFAC、英国、オーストラリアから今日制裁を受けた者の一人で、ロシアに住んでいると考えられている。
イービルコープとは
Evil Corpは、Dridexバンキング型トロイの木馬や、世界中の攻撃で使用されている様々なランサムウェア・ファミリーを作成・配布していることで知られるサイバー犯罪シンジケートである。
設立当初、このサイバー犯罪組織はDridexトロイの木馬を使ってオンラインバンキングの認証情報を盗み出し、それを使って自分たちの管理下にある銀行口座に送金するという金融詐欺を行っていました。
2017年、企業を標的としたランサムウェア攻撃が出現し始めると、ギャング団はBitPaymerランサムウェアを作成し、世界中の企業に対する攻撃に使用した。
2019年、Evil Corpは分裂し、一部のメンバーはBitPaymerと同じコードの多くを共有するDoppelPaymerとして知られる新しいランサムウェアを作成した。DoppelPaymerは2022年まで組織を攻撃し続け、Grief(別名Pay or Grief)およびEntropyランサムウェアとして2度ブランドを変更した。
米国が1億ドル以上を盗んだとしてEvil Corpのメンバーを起訴した後、同ギャングのリーダーであるマクシム・ヤクベツとサイバー犯罪集団の他のメンバーを外国資産管理局(OFAC)の制裁リストに追加した。
この制裁により、多くのランサムウェア交渉会社は、制裁違反のリスクを理由にEvil Corpのオペレーションとの支払いを拒否しました。
Evil Corpは、WastedLocker、Hades、Phoenix CryptoLocker、PayLoadBin、Macawなど、米国の制裁を回避するために異なる名前で新しいランサムウェアの亜種を展開した。
しかし、これらの暗号化ツールはすべて共通のコードベースを共有していたため、Evil Corp.のものであることは容易に特定できた。このため、このギャングの関連会社の一部は、制裁をさらに逃れるために、ロックビット・ランサムウェアを攻撃に利用するようになった。
Comments