【データ版】米英が共同でTrickbotの開発者や管理者らロシアの7人に制裁発令

米財務省外国資産管理局(OFAC)は9日、英財務省金融制裁実施局(OFSI)と共同でTrickbotの開発者や管理者らロシアのサイバー犯罪者7人に制裁を発令したと明らかにした。Trickbotはランサムウェアなどサイバー犯罪の主要なツールになっているマルウェア。アメリカとイギリスが共同で制裁を発令するのは初めて。

Trickbotは、Emotet感染後に端末に配布されてRyukなどのランサムウェアを投下するドロッパーの役割を担うマルウェアとして知られ、また、欧米当局がEmotetをテイクダウンした後、2021年にEmotetが再開した際はTrickbotのインフラが利用されたとみられている。Trickbotの管理者グループは東ヨーロッパに拠点を置き、限られたサイバー犯罪グループにTrickbotを提供しているとも言われていた。

OFACによるとTrickbotは、モスクワを拠点とする個人が運営するオンラインバンキング型トロイの木馬Dryeから進化したトロイの木馬ウィルスで、2016年にセキュリティ研究者により特定された。DyreとTrickbotは金融データを盗む目的でサイバー犯罪グループによって開発、運用されるようになり世界の何百万ものコンピューターに感染。その後、高度にモジュール化されたTrickbotがランサムウェア攻撃を含む様々なサイバー犯罪で使われるようになった。

新型コロナウィルスのパンデミック最盛期の2020年には医療機関を標的に攻撃が行われ、これら攻撃においてTrickbotが使われ、アメリカではミネソタ州の3つの医療施設に対してランサムウェアが展開されてコンピュータネットワークが混乱し救急搬送にも支障が出たという。OFACによるとこれら2020年の攻撃はロシアの国家目標とロシア諜報機関のターゲットにもとづいてTrickbotグループのメンバーにより行われたもので、Trickbotグループの現在のメンバーはロシアの諜報機関に関与しているという。

米英当局が制裁対象としたのは以下の7人。

Vitaly Kovalev  Trickbot Group の幹部。Vitaly Kovalev は、オンラインで「Bentley」および「Ben」という名前でも知られている。本日、ニュージャージー地区連邦地方裁判所で起訴状が公開され、コバレフは、銀行詐欺を企てた共謀罪と、米国を拠点とするさまざまな金融機関で保有されている被害者の銀行口座への一連の侵入に関連した 8 件の銀行詐欺で起訴された。それは 2009 年と 2010 年に発生し、Dyre または Trickbot Group への関与よりも前のことだ。

Maksim Mikhailov  Trickbot Group の開発活動に携わってきた。マクシム・ミハイロフは、オンラインで「バゲット」という名前でも知られている。

Valentin Karyagin  ランサムウェアやその他のマルウェア プロジェクトの開発に携わってきた。Valentin Karyagin は、オンライン モニカ「Globus」としても知られてい.る。

Mikhail Iskritskiy  Trickbot Group のマネーロンダリングおよび詐欺プロジェクトに取り組んできた。Mikhail Iskritskiy は、オンラインでの通称「Tropa」としても知られている。

Dmitry Pleshevskiy  悪意のあるコードを Web サイトに挿入して被害者の資格情報を盗むことに取り組んだ。Dmitry Pleshevskiy は、オンラインで「Iseldor」というあだ名で知られている。

Ivan Vakhromeyev  Trickbot Group のマネージャーとして働いていた。Ivan Vakhromeyev は、オンラインで「キノコ」というあだ名で知られている。

Valery Sedletski  サーバーの管理を含め、Trickbot Group の管理者として働いてきた。ヴァレリー・セドレツキーは、オンラインで「Strix」というあだ名で知られている。

TrickbotはランサムウェアのRyukやContiと結びついており、OFACは7人をTrickbotグループのメンバーとして発表しているが、英当局の発表では「Conti、Wizard Spider、UNC1878、Gold Blackburn、Trickman、Trickbot として知られるランサムウェアグループは、Trickbot、Anchor、BazarLoader、BazarBackdoor、およびランサムウェアの Conti と Diavol の開発と展開を担当しています。また、Ryuk ランサムウェアの展開にも関与しています」としていることから7人はContiメンバーの可能性もある。

イギリスでは国家犯罪対策庁(NCA)がContiおよびRyukランサムウェアにより被害を受けた個人や企業計149を特定、これを受けてアメリカと協調した対策キャンペーンに乗り出しており、その最初の取り組みとして今回の共同制裁発令となったようだ。英当局は7人の制裁発表のリリースの中で「Conti ランサムウェアのグループは 2022 年 5 月に解散したが、このグループのメンバーは、英国を脅かす悪名高い新しいランサムウェア株のいくつかに引き続き関与している」とも指摘している。

■出典

https://home.treasury.gov/news/press-releases/jy1256

https://www.gov.uk/government/news/uk-cracks-down-on-ransomware-actors

コメントを残す

このサイトはスパムを低減するために Akismet を使っています。コメントデータの処理方法の詳細はこちらをご覧ください