Arrest

DESORDENグループ」または「ALTDOS」の名で企業を恐喝していたと思われるサイバー犯罪容疑者が、世界中の90以上の組織の盗まれたデータを流出させたとして、タイで逮捕された。

容疑者は、タイ王国警察とシンガポール警察による法執行活動により、Group-IBの専門家の協力を得てバンコクで逮捕された。

このサイバー犯罪者は2020年以降、ALTDOS、DESORDEN、GHOSTR、0mid16Bといった複数の別名で活動しており、組織から13TB以上の個人データを盗み出し、流出・販売していた。

Group-IBによると、このハッカーは「2021年以降、アジア太平洋地域で最も活発なサイバー犯罪者の1人」であり、主にタイ、シンガポール、マレーシア、インドネシア、インドの企業を標的としていた。

このサイバー犯罪者は欧州と北米の企業にも影響を与えており、これらの地域の組織に関する20件のデータ流出があった。

Location of impacted organizations
影響を受けた組織の所在地
出典グループIB

サイバーセキュリティ会社は、この脅威者は特に回避的で、新しい別名やオンライン上のペルソナに頻繁に切り替えるため、捜査が複雑になり、追跡が遅れたと指摘している。

Group-IBによると、ハッカーの手口は高度な恐喝に重点を置いており、被害者に最大限の圧力をかけるため、しばしばマスコミに接触していたという。

「グループIBのプレスリリースによると、「彼の攻撃の主な目的は、個人データを含む侵害されたデータベースを流出させ、それを一般に公開しないよう支払いを要求することだった。

「被害者が支払いを拒否した場合、彼はダークウェブのフォーラムでリークを発表しなかった。その代わりに、彼はメディアや個人データ保護規制当局に通知し、被害者により大きな風評被害と経済的ダメージを与えることを目的とした。”

ハッカーはまた、被害者の顧客に電子メールを送ったり、まれに漏洩した会社のデータベースを暗号化することさえあった。

ハッカーが “Desorden “のペルソナで活動していた頃の顕著なケースとして、台湾のコンピュータ大手Acerに対するハッキングとデータ盗難がある。

Timeline of activity
活動のタイムライン
出典グループIB

企業ネットワークに侵入するため、サイバー犯罪者はSQLインジェクション攻撃に「sqlmap」を使用し、脆弱なリモート・デスクトップ・プロトコル(RDP)サーバーを悪用して被害者の環境にCobaltStrikeビーコンを投下した。

CobaltStrikeは、合法的ではあるが、広く悪用されている侵入テスト・スイートであり、侵入された環境で悪意のある活動を行うために、サイバー犯罪者によってクラックされたバージョンが使用されている。

多数の侵入があったにもかかわらず、Group-IBによると、ハッカーは大きな横の動きは行わず、代わりにクラウドサーバーへの迅速なデータ流出と被害者からの恐喝に重点を置いていたという。

タイ警察によるハッカーの家宅捜索の結果、サイバー犯罪収益で購入されたと思われるノートパソコンや高級品など複数の物品が押収された。

Image from the police operation
警察の作戦の画像
出典グループIB

タイのニュースメディアThe Nationによると、容疑者は39歳のチアという男で、昨日バンコクで逮捕された。

同ニュースによると、チア容疑者はすでに罪を認めており、一人で犯行に及び、盗んだデータを10,000ドルで買い手に売ったと主張している。

同容疑者は現在、保護されたコンピューター・システムやデータへの不正アクセス、恐喝未遂、不法滞在など複数の罪に問われている。