ランサムウェアも生存戦略 「DarkSide」は「BlackMatter」に？ 現れては消えるサバイバル術：この頃、セキュリティ界隈で（1/2 ページ）

[鈴木聖子，ITmedia]

　米大手石油パイプラインを停止させ、多額の身代金を脅し取ったランサムウェア集団「DarkSide」。騒ぎが大きくなりすぎて姿を消していたが、しばらく身を潜めた後に名前を変えて再浮上しているらしい。

　DarkSideのように攻撃用のツールやサポートを提供する「サービスとしてのランサムウェア」ビジネスを展開する集団は幾つもあり、次々に現れては消える。しかし元をたどればそれほど数は多くないのかもしれない。

　DarkSideは今年5月、米南東部で一時的に燃料不足に陥る事態を引き起こしたことで、米政府や捜査当局が総力を挙げて摘発に乗り出した。その後、暗号資産やサーバなどのインフラを差し押さえられたとして廃業を宣言。米司法省は6月、Colonial PipelineがDarkSideに支払った身代金の一部を回収したと発表した。

　ところがそれから1カ月ほどたって、「BlackMatter」という新手のランサムウェア集団が浮上した。BleepingComputerによれば、同集団は被害企業に対して300万〜400万ドルの身代金を要求しているという。

　BlackMatterの被害者から入手した復号ツールをセキュリティ企業Emsisoftの専門家が解析した結果、BlackMatterはDarkSideと同じ独自の暗号化手段を使っていたことが判明した。「われわれが目にしているのはDarksideのリブランドだと確信した」とEmsisoftのファビアン・ウォーサーCTOは言う。

　そうした挙動を見せているのはDarkSideだけではない。

　Krebs on Securityによると、別のランサムウェア集団「REvil」は、2019年6月に突然廃業を宣言したランサムウェア集団「GandCrab」が前身だった。そしてGandCrabの登場とほぼ同時に姿を消した「Cerber」が、そのさらに前身だったらしい。

Krebs on Security

　REvilは7月、IT管理サービス企業Kaseyaのソフトウェアを狙った攻撃で注目を浴び、米バイデン大統領がロシアのプーチン大統領に介入を求める政治問題に発展。その直後にREvilは姿を消した。

　「サイバー犯罪ビジネスにとって、最発明は基本的なサバイバルスキルだ。自分たちの消滅や引退を装って新しいアイデンティティをつくり出すのは昔ながらの手口だった。その目的は、捜査当局の目をそらしたり、一時的に別の所に注意を向けさせることにある」（Krebs on Security）