Ukrainian charged for operating Raccoon Stealer malware service
2022/10/25 BleepingComputer — 26歳のウクライナ人 Mark Sokolovsky が、Raccoon Stealer というマルウェア・サービス (MaaS:Malware-as-a-Service) を介した、サイバー犯罪に関与したとして起訴された。Raccoon Stealer とは、MaaS モデルで配布される情報窃取型トロイの木馬であり、脅威アクターは $75/週あるいは $200/月でレンタルできる。利用者は、マルウェアのカスタマイズ/盗み出したデータ (ログとも呼ばれる) の取得/新しいマルウェア・ビルドの作成などを行うための、管理パネルへのアクセスが可能になる。
Raccoon Stealer は、感染させたデバイスに保存されているブラウザの認証情報/クレジットカード/暗号通貨ウォレット/メールデータを盗み出し、その他のアプリケーションからは各種の機密データを盗み出すことで人気を博している。
Raccoon Stealer 2.0 panel (@3xp0rtblog)
Sokolovsky (公開された起訴状によると、オンラインでは raccoonstealer/Photix/black21jack7777 としても知られている) は 2022年3月に逮捕され、現在は米国への送還を待ちながらオランダで収監されている。オランダ当局が同被告を拘束している間、FBI とオランダ/イタリアの法執行機関が Raccoon Infostealer のインフラを解体し、既存のマルウェア・バージョンをオフラインで停止させた。
BleepingComputer は、この逮捕と前後して、サイバー犯罪グループ Raccoon Stealer はロシア語圏のハッキングフォーラムにおいて、主要開発者の1人がウクライナ侵攻時に殺害されたと主張し、活動を停止したと報じている。
しかし、その後の6月上旬に、Raccoon Stealer の活動は、C/C++ を使用してゼロから構築され、新しいバックエンド/フロントエンド/新しいデータ盗難機能を備えた、新しいバージョンをリリースして再スタートしている。
なお、FBI は、サイバー犯罪者がマルウェア Raccoon Stealer を使って、3月以降に盗んだデータの一部を、感染したコンピュータから回収している。
今日に公開されたプレスリリースで 司法省 (DoJ) は、「正確な数はまだ確認されていないが、FBI 捜査官は、世界中の数百万人の潜在的な被害者から盗まれたデータの中から、5千万以上の固有の資格情報/認証情報 (メールアドレス/銀行口座/暗号通貨アドレス/クレジットカード番号など) を確認した。認証情報には、400万人以上のメールアドレスが含まれているようだ。米国は、Raccoon Infostealer により盗まれた、すべてのデータを所有しているとは考えておらず、引き続き調査を進めている」と述べている。
また、FBI は、米国政府が保有する Raccoon Infostealer の盗難情報のアーカイブに、自身のデータが含まれているかどうかを、誰もが確認できる Web サイトを作成した。データが盗まれている場合には、米国政府の Raccoon Infostealer Disclosure ポータルを検索する際に入力したアドレスで、追加情報/リソース/リンクなどを記載した確認メールを受け取ることができる。
同ポータルは、「Raccoon Infostealer は、メールアドレスを盗み出すことなく、財務情報など他の個人情報を漏洩している可能性があることに注意してほしい」と述べている。
Raccoon Stealer の運営者である、ウクライナ人 Mark Sokolovsky が3月に逮捕されましたが、他の誰かが6月に再開しているということなのでしょうか? MaaS:Malware-as-a-Service というサービスの存在は、Ficker の展開や Prometheus TDS のキャンペーンで報じられており、この Raccoon も、それに続くものです。こうした、攻撃のための環境が、○○ as-a-Service として整いつつあります。各種の攻撃が多発するのも分かります。
IoT OT Security News 
You must be logged in to post a comment.