Evil の新たな戦略:LockBit ランサムウェアの運用により制裁を逃れる?

Evil Corp switches to LockBit ransomware to evade sanctions

2022/06/02 BleepingComputer — 現時点におけるサイバー犯罪グループ Evil Corp は、米国財務省外国資産管理局 (OFAC:Office of Foreign Assets Control) が課す制裁を回避するため、ランサムウェア LockBit を標的ネットワークに展開する方法へと、切り替えていることが明らかになった。2007年から活動している Evil Corp (INDRIK SPIDER/ Dridex) は、Dridex マルウェアを展開した後にランサムウェアをビジネスへと転換した、パイオニアとして知られている。

このギャングは Locky ランサムウェアに始まり、2019年までは BitPaymer という独自のランサムウェア系統を展開してきた。その後、Dridex を用いて $100 million 以上の損害を与えたとして、2019年12月に米国から制裁を受けた REvil は、2020年6月に新たなランサムウェア WastedLocker を展開する方針へと切り替えた。

2021年3月以降、Evil Corp は Hades と呼ばれる別の系統に移行したが、それは WastedLocker の 64 Bit 版であり、コードの難読化と機能変更の追加によりアップグレードされたものである。それ以降、この脅威アクターは PayloadBin ハッキング・グループになりすまし、Macaw Locker/Phoenix CryptoLocker として知られる、他のランサムウェア系統も使用してきた。

LockBit スイッチ

このところ、Mandiant の脅威アナリストたちが観察したように、このサイバー犯罪集団は、OFAC 規制違反に関連するリスクに直面することなく、被害者が身代金を支払えるよう、既知のツールから距離を置こうとしている。

Mandiant が UNC2165 として追跡している活動集団 (以前は Hades を展開し、Evil Corp にリンクしていた) は、現在は LockBit アフィリエイトとしてランサムウェアを展開している。

Mandiant は、「この RaaS を使用すると、UNC2165 は他のアフィリエイトに紛れ込むことが可能となる。したがって、以前のオペレーションと比べると、攻撃ライフサイクルの初期段階を可視化し、その活動を適切に特定することが必要になる。また、Hades の頻繁なコード更新とリブランディングには開発リソースが必要になるため、UNC2165 は LockBit を使用することで、コスト効率の改善している可能性がある」と述べている。

LockBit ransomware activity
LockBit ransomware activity (ID-Ransomware)

Ransomware as a Service (RaaS) オペレーターとして活動する新たな戦術は、ランサムウェア開発に必要な時間を、ランサムウェア展開の幅を広げることへの投資であるとも思われる。また、他社の悪意のツールに切り替えることで、Evil Corp が新しいランサムウェアをゼロから開発するためのリソースを確保し、Evil Corp の以前の活動との関連付けを、難しくさせるという説もある。Mandiantは、「これらの行為者だけでなく、今後において制裁を受ける行為者も、被害者から支払いを受ける際の制限要因が生じないよう、身元を隠すための手段を講じるだろう」と結論付けている。

2021年11月に「全米ライフル協会がロシアの Evil Corp ランサムウェアにハッキングされた?」という記事がポストされていました。Evil との関係が深いとされる、Grief リークサイトで、さまさまな文章が開示されたようです。また、このランサムウェア・グループと、ロシアの関係についても述べられています。なお、文中にある「OFAC 規制」という部分ですが、同組織が特定したランサムウェア・グループには、身代金を支払っては行けないという、文脈のように思えます。

%d bloggers like this: