Five Key Signals From Russia’s REvil Ransomware Bust
2022/01/18 SecurityWeek — 突然にロシアの最高法執行機関が、ランサムウェア REvil を公開捜査したことで、大規模なランサムウェア攻撃を阻止する鍵は、外交が握っているのではないかと話題になっている。この囮捜査は、「米国の要請を受けて」という慎重な発表に続いて行われたが、その背景には、ロシアとウクライナの地政学的な対立がある。そして、すでに、データ消去などを目的とした、ウクライナ政府に対するマルウェア攻撃や標的型 Web サイトの改ざんに結びついている。
米国政府は、ガスパイプラインの寸断や、食料品の営業妨害といった、ランサムウェアによる攻撃を無視したとして、ロシアを公に非難している。昨年にホワイトハウスは、ランサムウェアによる富の移転活動に関するデータを共有した後に、ロシア政府に対して「フォローアップ行動」を主張してきた。この動きが、軍事衝突や経済制裁をめぐる、大規模な外交に結びついていることに間違いはないだろう。今年の残りの期間に、どのようにランサムウェア・エコシステムが変化するかを理解するためには、発信されている5つの主要なシグナルを、詳細に検討することが必要だ。
- ランサムウェアは、外交で(部分的に)解決できる
今回の作戦では、すべてにおいて “.gov” の外交力が発揮されている。ロシア政府は、今回の取り締まりがアメリカへの贈り物であることを示すために、慎重に調整された発表と一緒に、襲撃のビデオを投稿することでショーを演出した。FSB のプレスリリースでは、米国からの要請に応えたことが明確にされており、サイバー・セキュリティの問題で協力するために、法執行力を行使する意思があることが明らかされている。
多くの人々が懐疑的な見方をしているが (REvil の破壊の選択については後述する) 、政府が意欲を持つなら、大規模なサイバー犯罪行為を、とりわけ地政学的/国家安全保障的な意味合いを持つ行為を、効果的に阻止できることを裏付けるものだ。政治家たちが数回の会合を開くだけで、突然の法執行指令が出され、最終的にはサイバー犯罪者を潰せることになるかもしれない。つまり、企業ネットワークからランサムウェアを取り出そうと奮闘しているネットワーク・ディフェンダーにとって、全員参加のグローバルな法執行活動が安心感を与えることを示している。
- ランサムウェアは低空飛行の果実である
ロシア政府が、今回の作戦の標的として REvil を選んだことは興味深い。実は、REvilのマルウェア運用は、米国政府や法執行機関の西側の同盟国により、すでに危険にさらされていた。昨年10月に書いたように、Colonial Pipeline と Kaseya サプライチェーンへの侵害により、このランサムウェア・ギャングが非難された後に、米国主導の法執行機関によるハックバック作戦が行使されたことで、REvil は Tor サーバーを押収され、事実上機能不全に陥っていた。
すでに REvil は破壊され、その運営者は米国当局に検知されていた。つまり、ロシア政府の交渉担当者にとって、米国がより大きな取引をしたいのであれば、他の大物の捕捉にも協力する可能性を、公に示すのは非常に簡単なことだった。国家規模のマルウェア追跡に詳しい人物に意見を求めたところ、「シグナルが何であるかは明らかです。そのシグナルを誰もが正しく理解することが重要だ。 あなたは、私たちにランサムウェアを何とかしてくれと頼み、私たちはそれを実行した。 今度は、あなたが、私たちのために何をしてくれるのか?」と述べていた。
- 犯罪組織に恐怖心を与える
この破壊における、大きな副次的効果は抑止力である。ロシアのサイバー犯罪法は、ロシアの被害者を想定している。したがって、逮捕された容疑者は、より軽いマネーロンダリング罪で裁かれる。しかし、ロシアで1月に投獄されることは辛いことになる。逮捕された者の大半は、ランサムウェア・エコシステムにおける REvil の、低レベルの関係者と考えられている。しかし、ギャングのリーダーたちにとって、外交交渉においては、自身が消耗品であることが示されたことになる。この抑止力により、大胆な攻撃は目に見えて減少し、サイバー犯罪者は Colonial Pipeline ハッキングの DarkSide のように、痕跡を消し去り、活動の全体を停止するようになるだろう。
- イランと北朝鮮のランサムウェアの関係
REvil の破壊は、米露関係の視野に収まるものだが、経済制裁による圧力を逃れるために、ランサムウェア攻撃や暗号銀行強盗を利用している国家として、少なくとも北朝鮮とイランの2国がある。ロシアがランサムウェア被害を交渉に利用するならば、他国が同じ戦略をとる前例となる。北朝鮮のハッカーは、2021年に $400 million 相当の暗号通貨を盗み出し、イランでは国家に支援される脅威アクターによるランサムウェア攻撃が行われている。このような “.gov” の脅威アクターが、その帰属による責任を回避し、将来の外交交渉を有利に進めるために、ランサムウェア運用を傭兵的な民間企業に委託することが予想される。
- 帰属表示の価値
注目すべき点の1つは、ランサムウェアや脅威アクターを含む、エコシステムの頂点に立つ捕食者を崩壊させるために、使用される新しい Sand and Friction 戦略において、米国政府が高品質の帰属表示を使用していることだ。この戦略には、標的となる APT 活動への具体的な警告などの複数の機関からの勧告や、ソーシャル・メディア上での直接的な帰属表示を利用して、防御側に役立つツールや IOC を公開することが含まれている。このような高品質な帰属表示は、REvil ギャングの逮捕につながるレベルの “.gov” 情報共有にとって不可欠なものである。帰属表示は厄介な分野だが、その価値はかつてないほど高まっている。サイバー・セキュリティ業界にとっては、政府や外交官が会話の主導権を握っているとしても、ランサムウェア・エコシステムの紆余曲折を理解することが重要となる。
ロシア当局による REvil 破壊は、とても興味深い現象です。文中でも指摘されているように、すでにレームダック化している REvil が、なぜターゲットに選ばれたのか? よりによって、ウクライナ国境で緊張が高まっている、この時期に何故なのか? 考えても切りのない話ですが、不思議といえば、不思議なことだらけです。1月14日の「ロシア当局が REvil ランサムウェア・ギャングを壊滅させた」は、このシリーズの第一弾です。よろしければ、ご参照ください。
IoT OT Security News 