German investigators identify REvil ransomware gang core member
2021/10/28 BleepingComputer — ドイツの捜査当局は、最近で最も成功したランサムウェア・グループの1つである、REvil ランサムウェアのコア・メンバーの一人と思われるロシア人男性を特定したと報じている。この男は、暗号通貨の投資家やトレーダーだと自称しているが、ドイツ当局が長年にわたって行って追跡してきた BitCoin 支払いなどを分析した結果、そうではないと考えられている。
この容疑者の身元は明らかにされていないが、ドイツのメディアは同容疑者を Nikolay K という架空の名前で呼んでおり、捜査当局はランサムウェア GandCrab への BitCoin 身代金に関連していると報じている。
法執行機関は、あるソフトウェア開発会社と、シュトゥットガルトの州立劇場への攻撃の後に、一連の身代金支払いを追跡してきた。同じ情報源によると、捜査当局は REvil と GandCrab の間には、強い関連性があることが発見されたとしているが、セキュリティ研究者やアナリストも、それを何度も指摘してきた。
Nikolay K は、地中海での休暇を紹介する際には、豪華なヨットパーティーの画像を、SNS に投稿するなどしていた。つまり、自分の正体を隠すことに関しては十分な注意を払っておらず、ランサムウェアの運用と暗号資産との関連性を隠せば十分だと誤認していたようだ。
電子メールアドレスを使って追跡
報道によると、警察は Nikolay が60以上の Web サイトに登録していたメールアドレスと、Telegram アカウントに使用していた電話番号を見つけ出した。そのアカウントは合法的な、暗号資産取引に使用されていたと思われるが、警察は 400,000 Euros 以上の暗号資産の取引を、身代金の支払いと関連付けることができたと報告している。
2週間前に、REvil のインフラが摘発されて以来、このグループのメンバーは更に慎重になっているが、Nikolay K は捜査官による逮捕に近づいていることを知らなかったようだ。この夏に、Nikolay K の妻は休暇を利用して一人で旅行に出かけ、ランサムウェアの実行者たちはロシアに留まっていたが、これは海外での予期せぬ逮捕を避けるためだと推測される。
バーデン・ヴュルテンベルク州の連邦刑事警察局も、シュトゥットガルトの検察庁も、ロシアへの身柄引き渡し要請についてはコメントしていないので、上記についての正式な確認を待っているところだ。ランサムウェアの脅威が、政治における最高レベルにまで及んでいることを考えると、ロシア側が Nikolay K の起訴を否定しているのは驚きである。
REvil に関しては Kaseya 攻撃の後の 7月13日に、「REvil ランサムウェアが姿をくらましたが理由は不明」という記事がポストされました。その後、9月13日には「REvil ランサムウェアのマスター復号キーには法執行機関が絡んでいる?」が、10月17日には「REvil ランサムウェアの Tor サイトがハイジャックされた:ついに終焉を迎えるのか?」という記事がポストされ、徐々に追い詰められる様子が窺えました。あとは、ロシアが起訴するかどうかでうすね。
IoT OT Security News 