ランサムウェアグループAlphVが摘発後から数時間で“復活” 専門家も驚く異例の事態に発展：Cybersecurity Dive

法執行機関はランサムウェアグループ「AlphV」のインフラを摘発したが、その数時間後、同グループは再登場して新たなリークサイトで投稿を行った。

[Matt Kapko，Cybersecurity Dive]

　脅威研究者によるダークWebの観察によると、2023年12月19日（現地時間、以下同）に法執行機関がランサムウェアグループ「AlphV」のインフラを摘発した後（注1）、同グループは数時間後に再登場し、「データリークサイトの閉鎖を解除した」と主張した。

　ダークWeb情報を提供するアカウント「Dark Web Informer」によると、この大規模なランサムウェアグループは、米国連邦捜査局（FBI）と国際的な法執行機関が摘発を発表して以降、新たな被害組織を開示し、以前に主張した被害者に関する投稿も更新した。

摘発されたAlphVが再登場　専門家は異例の事態と指摘

　サイバーセキュリティ事業者Emsisoftの脅威アナリストであるブレット・カロウ氏によると、AlphVが再び現れた数時間後に法執行機関がデータリークサイトを再閉鎖したところ、同グループはすぐに新しいリークサイトを立ち上げたという。

　ランサムウェアグループはしばしば新しいインフラを整備し、自分たちのブランドを変更する。サイバーセキュリティ専門家によると、AlphVのデータリークサイトに新たな脅威や投稿が突如として現れたことは異例の事態だったようだ。

　カロウ氏は「サイバー攻撃者と法執行機関がリークサイトの支配権を巡って争ったのは、私の記憶にある限り初めてのことだ」と話した。

　AlphVの現在の運営状況と能力は不明である。

　FBIと米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁（CISA）によると、「BlackCat」の別名でも知られるAlphVは、2023年9月の時点で1000以上の組織に侵入し、約3億ドルの身代金を受け取っている（注2）。

　1年半前に初めて出現したこのグループは、Norton Healthcare（注3）、Fidelity National Financial（注4）、Tipaltiを標的にしたサイバー攻撃の直接的な関与を主張している（注5）。AlphVと提携しているランサムウェアグループの「Scattered Spider」は（注6）、AlphVのランサムウェアの亜種を使用しており、MGM Resorts（注7）やCaesars Entertainment（注8）、Cloroxに対する大規模な攻撃と関連付けられている（注9）。

　連邦当局によると、AlphVの被害者のほぼ4分の3は米国を拠点とする組織だという。

　「直近24時間のAlphVの行動は戦術的に誤りである。彼らの活動が崩壊した以上、彼らの提携組織は、法執行機関と綱引きをするのではなく、活動の完全な停止を望んだはずだ」（カロウ氏）

　脅威研究者は「法執行機関の行動の結果、AlphVの能力は低下した」と確信している一方で、さらなる被害に関する警戒を呼びかけている。

　サイバーセキュリティ事業者のRecorded Futureの脅威インテリジェンスアナリストであるアラン・リスカ氏は「法執行機関からの摘発を受けたとき、ランサムウェアグループがこの種の暴挙に出ることを以前にも確認したことがあり、何も変わっていない。AlphVとその提携組織は、摘発を受けたからといって活動を制限するようなものではないため、今後も何も変わらないだろう」と述べた。

　リスカ氏はAlphVの復活を「.onion」のドメインの運用に関連する技術的な回避策とみなした。これらのドメインはサーバ上にホストされた暗号鍵ペアに依存している。

　「法執行機関がサーバを押収したとき、AlphVのオペレーターは新しいサーバに鍵のペアをインストールし、それが現在のドメインの場所を指している。彼らの古いサーバと、おそらくそこに保存されている全てのデータを法執行機関が保有しているという事実は変わらない」（リスカ氏）

　Secureworksの脅威対策チームによると（注10）、脅威グループとFBIは、Torのネットワーク上でAlphVのサービスをホストするために必要な秘密鍵を所有しているという。

今回の摘発の意義

　2023年12月19日、FBIは「法執行機関の取り組みにより、数十の被害者がシステムを回復し、約6800万ドルに及ぶ身代金要求を回避するために役立つ復号ツールの開発が進展した」と発表した（注11）。この復号ツールは、全世界で500以上の被害組織に提供されている。

　AlphVの摘発と広く利用される復号ツールが開発されたことは良いニュースだが、リスカ氏は「法執行機関によるこれらの活動が、もぐらたたきであることも示している。摘発は重要だが、私たちは、より広く対策を実現する方法を見つけなければならない」と話した。

　摘発後のAlphVの活動に関する問い合わせについて、FBIははすぐに回答しなかった。

　カロウ氏は「これらの摘発は、インシデントの数に長期的な影響を与えないかもしれないが、極めて重要だ。政府が永続的な解決策を見つけるまで、問題がこれまで以上に制御を失うことを回避するために役立つ。間違いなくこれらの活動は善人の大きな勝利だ」と語った。

（注1）US leads AlphV ransomware infrastructure takedown（Cybersecurity Dive）
（注2）#StopRansomware: ALPHV Blackcat（CISA）
（注3）Norton Healthcare ransomware attack exposes 2.5M people（Cybersecurity Dive）
（注4）Fidelity National Financial investigating cyberattack that led to service disruption（Cybersecurity Dive）
（注5）Payments processor Tipalti investigating ransomware attack（Cybersecurity Dive）
（注6）Threat actors behind Las Vegas casino attacks are social-engineering mavens（Cybersecurity Dive）
（注7）MGM Resorts’ Las Vegas area operations to take $100M hit from cyberattack（Cybersecurity Dive）
（注8）Caesars Entertainment faces class action lawsuits following rewards database hack（Cybersecurity Dive）
（注9）Clorox warns of quarterly loss related to August cyberattack, production delays（Cybersecurity Dive）
（注10）LAW ENFORCEMENT TAKES ACTION AGAINST ALPHV/BLACKCAT RANSOMWARE（Secureworks）
（注11）Justice Department Disrupts Prolific ALPHV/Blackcat Ransomware Variant（DOJ）

原文へのリンク