米財務省は2020年10月にランサムウェアアドバイザリを発行しており、アメリカの制裁に関連するランサムウェアによる身代金支払いや支払いをサポートする行為等が制裁対象になるとして警告している。これに関連してコロニアル・パイプライン(本社・米ジョージア州)を一時操業停止に追い込んだランサムウェアDarksideについて、その犯罪インフラが米の経済制裁対象国のイランでホスティングされているとの指摘がある。
BLEEPINGCOMPUTERによると、ランサムウェア攻撃者は犯罪インフラであるサーバーを当局に差し押さえられたり、サイバーセキュリティ企業等からアクセスされることを避けるために分散させているケースが見られ、Darksideはイランのサーバーにホストされているストレージでデータの管理等を行っているという。これはかつてDarksideがリリースで明らかにしたようだ。アメリカではランサムウェアの攻撃者と被害企業の間に立って交渉を仲介する業者が存在し、これら業者はDarksideがアメリカの経済制裁の対象国であるイランのサービスプロバイダーへの支払いに身代金が使われることを懸念してDarksideとの交渉を制限しているという。
米財務省のアドバイザリにはDarksideに関する直接の言及はないようだが、具体的な事案として、Cryptolockerの開発者、SamSamランサムウェアに関するイランのアクターである2人のイラン人、北朝鮮のLazarusGroup、Bluenoroff、Andarielの3つのハッキンググループ、EvilCorpとそのリーダーであるMaksimYakubetsらを制裁対象として指摘している。
■参考
https://home.treasury.gov/news/press-releases/sm1142
