Diavol ランサムウェアは TrickBot ギャングと関連している:FBI が正式に発表

FBI links Diavol ransomware to the TrickBot cybercrime group

2022/01/20 BleepingComputer — FBI の正式な発表により、ランサムウェア Diavol の活動と、バンキングトロイの木馬 TrickBot グループが結びつけられた。Wizard Spider として知られる TrickBot グループは、長年にわたって企業ネットワークに大損害を与えてきたマルウェアの開発者であり、Conti や Ryuk などのランサムウェアの攻撃や、ネットワークへの侵入、金融詐欺、企業スパイなどにつながっている。

TrickBot Gang は、その名の通りのバンキングトロイの木馬 TrickBot で知られているが、バックドア BazarBackdoor や Anchor の開発にも関与している。

Diavol と TrickBo tグループを結びつける事前分析

2021年7月に FortiGuard Labs の研究者たちは、企業をターゲットにする Diavol (ルーマニア語で悪魔) というランサムウェアが、新たに確認されたという分析結果を発表した。研究者たちは、2021年6月初旬に報じたランサムウェア攻撃で、Diavol と Conti のランサムウェア・ペイロードがネットワーク上に展開されているのを目撃している。

2つのランサムウェアのサンプルを分析した結果、ファイル暗号化のキューイングに、非同期 I/O 操作が使用されていることや、コマンドライン・パラメータがほぼ同一であることなどの類似点が発見された。その時点では、2つの操作を正式に結びつけるための、十分な証拠はなかった。しかし、その1ヶ月後に、IBM X-Force の研究者たちは、Diavol ランサムウェアと、TrickBot Gang のマルウェアとの間の、より強い関連性を立証した。

FBI がランサムウェア Diavol を TrickBot ギャングと関連付ける

今日、FBI は、過去の攻撃で見られた侵害の指標を共有する新たな勧告の中で、Diavol ランサムウェアの活動を TrickBot Gang に結びつけたことを正式に発表した。FBI は Flash 勧告の中で、「2021年10月に初めて Diavol ランサムウェアを検知した。Diavol は、Trickbot Banking Trojan の責任者である、Trickbot Group の開発者と関連している」と述べている。

Diavol の検知以降に、FBIは $10,000〜$500,000 の身代金要求があり、また、交渉後に低額の支払いが受け入れられているのを確認している。これらの金額は、Conti や Ryuk などの、TrickBot に関連するランサムウェアが、これまでに数百万ドルの身代金を要求してきたのとは対照的である。たとえば、2021年4月に発生したランサムウェア Conti は、フロリダ州のブロワード郡学区に $40 million を、チップメーカーの Advantech に $14 million を要求している。

Diavol と TrickBot を、FBI が正式に結びつけることができたのは、マルウェア・ギャングのランサムウェア開発に関与していた、ラトビア人女性の Alla Witte を逮捕してからだと思われる。TrickBot の活動を追跡してきた AdvIntel の CEO である Vitali Kremez は、BleepingComputer に対して、TrickBot に関連する新しいランサムウェアの開発を、Witte が担当していたと語っている。

Kremez は、「Alla Witte は、TrickBot の運用で重要な役割を果たしており、AdvIntel に蓄積された洞察に基づけば、Diavol ランサムウェアとフロントエンド/バックエンドの開発を担当していた。Diavol ランサムウェアの別名は Enigma であり、それは、Diavol へのブランド変更前に、 TrickBot のクルーが支配していたものである
」と BleepingComputer に語っている。

FBI の勧告には、Diavol による侵害への指標と緩和策が数多く含まれており、すべてのセキュリティ専門家と Windows ネットワーク管理者にとって必読の書となっている。なお、FBI の勧告で指摘されているように、Diavol ランサムウェアは当初、README_FOR_DECRYPT.txt という名前のランサムノートを作成していたが、11月には Warning.txt という名前のランサムノートに切り替えたことが確認されている。

また、FBI は、すべての被害者に対して、身代金支払いの計画の有無にかかわらず、攻撃を受けたことを速やかに法執行機関に通知するよう呼びかけている。それにより、捜査目的や法執行活動に使用できる、新たな IOC が収集されていく。また、Diavol 攻撃の影響を受けた場合は、「Diavol ランサムウェアの影響を受けた被害者に対して、脅威軽減のためのリソースを提供できる可能性がある」とし、身代金を支払う前に FBI に通知することが重要だと述べている。

2021年7月の「Trickbot ボットネットと Diavol ランサムウェアの関係性は?」で、すでに両者の関連性が疑われていましたが、断定するまでには至っていませんでした。また、2021年10月の「Trickbot マルウェア開発者の逮捕:バンキング・トロイの木馬などの容疑」は、タイトルの通り、捜査の進展を示唆しています。そして、FBI の調査により、関係性が明らかになったのでしょう。なにはともあれ、犯罪組織の解明が進むのは、とても良いことです。

%d bloggers like this: