Phobosランサムウェア・ギャングを標的とした世界的な法執行活動により、タイのプーケットで4人のハッカー容疑者が逮捕され、8Baseのダーク・ウェブ・サイトが押収された。容疑者たちは、世界中の1,000人以上の被害者に対してサイバー攻撃を行ったとして告発されている。
逮捕された2人の男性と2人の女性はヨーロッパ人で、数年にわたり被害者から16,000,000ドル相当のビットコインを恐喝したと報じられている。
コードネーム “Phobos Aetor “と呼ばれるこの警察の作戦は、4カ所で連携した家宅捜索につながり、ラップトップ、スマートフォン、暗号通貨ウォレットがフォレンジック分析のために押収された。
今回の逮捕はスイス当局の要請によるもので、同当局はタイ政府に容疑者の身柄引き渡しを求めている。
地元メディアの報道によると、4人のハッカーは2023年4月から2024年10月にかけて、少なくとも17のスイス企業に対してランサムウェア攻撃を行ったとされている。
攻撃中、脅威者は企業ネットワークに侵入してデータを盗み、ファイルを暗号化した。その後、脅威行為者は暗号解読キーを提供し、データの一般公開を防ぐために暗号通貨での支払いを要求した。
身代金の支払いは暗号通貨ミキシング・プラットフォームで洗浄され、法執行機関が最終的なウォレットを追跡することを困難にしていた。
8Baseのダーク・ウェブ・サイトが押収される
本日、8Baseランサムウェアのダークウェブ・サイトも、同じ作戦と思われる形で押収された。
8Baseランサムウェア・ギャングの交渉およびデータ流出サイトには現在、「この隠しサイトは押収されました」という押収メッセージが表示されている。この隠しサイトと犯罪コンテンツは、バンベルクの検事総長のオフィスに代わって、バイエルン州刑事警察によって押収されました。”
この押収メッセージは、「フォボス・アエトール作戦」がタイ、ルーマニア、バイエルン、ドイツ、スイス、日本、アメリカ、ユーロポール、チェコ、スペイン、フランス、ベルギー、イギリスを巻き込んだものであることも示している。
この押収メッセージの正当性について質問されたユーロポールは、”ユーロポールはランサムウェアグループに対する国際的な活動を支援している “と答えた。
英国国家犯罪局(NCA)も、この作戦で支援的役割を果たしたことを確認した。
は、8Baseのデータ流出と交渉サイトの両方が、世界的な法執行活動の一環として押収されたことを確認した。
ソースは こちら:
8Baseは2022年3月に登場したランサムウェア・グループで、2023年6月に突然多くの被害者のデータを流出し始めるまで、比較的静かに活動していた。
自らを単純な「ペンテスター」と表現するこのランサムウェア集団の活動や洗練度から、おそらく別の活動のリブランドであるか、経験豊富なハッカーで構成されていることがわかりました。
VMwareは、このギャングが身代金要求書のスタイルやデータ流出サイトなど、RansomHouseと多くの類似点を共有していると報告しているが、同じグループであることは確認されていない。
他のランサムウェア作戦と同様、8Baseは企業ネットワークに侵入し、企業データを盗み出しながら、デバイスを介して静かに横方向に広がっていく。ドメイン・コントローラーにアクセスすると、脅威行為者はPhobosランサムウェア暗号化ツールを使ってデバイスを暗号化する。
ファイルを暗号化する際、ランサムウェアは暗号化されたファイルに.8baseまたは.8という拡張子を付加します。
このプロセスの間、身代金メモが作成され、復号化キーと、盗まれたデータを削除し公開しないことを約束する見返りとして、数十万ドルから数百万ドルの身代金の支払いを要求する。
2023年、米国保健社会福祉省は、8Baseの運営者がヘルスケア・セクターを含む世界中の組織を標的にしていると警告した。
“グループの攻撃によると、8Baseは主に米国、ブラジル、英国を拠点とするSMB企業を標的としている。その他の被害国には、オーストラリア、ドイツ、カナダ、中国などが含まれる。注目すべきは、旧ソビエト諸国やCIS諸国が標的になっていないことです」とHHSは説明している。
「ロシアや他のロシア語を話すRaaSグループや関連会社との相関関係は知られていないが、この地理的除外パターンは多くのロシア語を話す脅威行為者の特徴である。
このランサムウェア集団の有名な被害者には、110億ドルの売上を誇る日本の巨大ハイテク企業、日本電産株式会社や 国連開発計画(UNDP)などがある。
Comments