ユーロポール、ランサムウェア攻撃に悪用された593件のCobalt Strikeアドレスを削除

ユーロポールは、ランサムウェア攻撃などに悪用されていた「Cobalt Strike」の93件のIPアドレスを削除したと発表した。この作戦には日本を含む多数の国家当局や民間企業が協力した。

[ITmedia]

　欧州連合の法執行機関Europol（欧州刑事警察機構、以下「ユーロポール」）と英国の国家犯罪対策庁（NCA）は7月3日（現地時間）、サイバー犯罪者がランサムウェア攻撃などに悪用していた商用ツール「Cobalt Strike」の593件のIPアドレスを削除したと発表した。

　Cobalt Strikeは、米サイバーセキュリティ企業Fortraがリリースした正規の商用侵入テストツールだが、サイバー犯罪者がこのツールのクラックされたコピーをデータ窃盗やランサムウェア攻撃で悪用するようになっている。

　米Microsoftによると、クラックされたこのツールはロシアや中国などの国家支援のサイバー犯罪者が活用しているという。

　サイバー犯罪者は、スピアフィッシングやスパムメールを介してCobalt Strikeのクラック版を展開する。標的がリンクをクリックしたり添付ファイルを開くと、Cobalt Strikeのビーコンがインストールされ、サイバー犯罪者にリモートアクセスが提供され、感染したホストのプロファイルを作成し、マルウェアやランサムウェアをダウンロードしてデータを盗み、標的から金銭を巻き上げようとする。

　NCA主導の「Operation MORPHEUS」（モーフィアス作戦）には欧州の一部の国や米国、カナダの法執行機関が関与し、ユーロポールはBAE Systems Digital Intelligence、Trellix、Spamhausなどの民間企業との調整にあたった。Fortraもツールの古いバージョンやクラックされたバージョンを特定し、削除している。日本の当局もこの作戦に協力したという。

　ユーロポールは、2021年9月からすべての協力者と情報交換し、作戦を推進してきた。作戦を通じて、約120万件の侵害の兆候を含む730件以上の脅威情報が共有された。

　ユーロポールは「阻止活動はこれで終わりではない。犯罪者がこのツールの古いバージョンを悪用し続ける限り、法執行機関は監視を続け、同様の措置を講じるだろう」としている。