米財務省外国資産管理局(OFAC)は9日、英財務省金融制裁実施局(OFSI)と共同でTrickbotの開発者や管理者らロシアのサイバー犯罪者7人に制裁を発令したと明らかにした。Trickbotはランサムウェアなどサイバー犯罪の主要なツールになっているマルウェア。アメリカとイギリスが共同で制裁を発令するのは初めて。
Trickbotは、Emotet感染後に端末に配布されてRyukなどのランサムウェアを投下するドロッパーの役割を担うマルウェアとして知られ、また、欧米当局がEmotetをテイクダウンした後、2021年にEmotetが再開した際はTrickbotのインフラが利用されたとみられている。Trickbotの管理者グループは東ヨーロッパに拠点を置き、限られたサイバー犯罪グループにTrickbotを提供しているとも言われていた。
OFACによるとTrickbotは、モスクワを拠点とする個人が運営するオンラインバンキング型トロイの木馬Dryeから進化したトロイの木馬ウィルスで、2016年にセキュリティ研究者により特定された。DyreとTrickbotは金融データを盗む目的でサイバー犯罪グループによって開発、運用されるようになり世界の何百万ものコンピューターに感染。その後、高度にモジュール化されたTrickbotがランサムウェア攻撃を含む様々なサイバー犯罪で使われるようになった。
新型コロナウィルスのパンデミック最盛期の2020年には医療機関を標的に攻撃が行われ、これら攻撃においてTrickbotが使われ、アメリカではミネソタ州の3つの医療施設に対してランサムウェアが展開されてコンピュータネットワークが混乱し救急搬送にも支障が出たという。OFACによるとこれら2020年の攻撃はロシアの国家目標とロシア諜報機関のターゲットにもとづいてTrickbotグループのメンバーにより行われたもので、Trickbotグループの現在のメンバーはロシアの諜報機関に関与しているという。
米英当局が制裁対象としたのは計7人。グルーブの元幹部や開発者、管理者のほかマネーロンダリングや悪意のあるコードをウェブサイトに挿入して資格情報を盗んでいた者などが含まれている。TrickbotはランサムウェアのRyukやContiと結びついており、OFACは7人をTrickbotグループのメンバーとして発表しているが、英当局の発表では「Conti、Wizard Spider、UNC1878、Gold Blackburn、Trickman、Trickbot として知られるランサムウェアグループは、Trickbot、Anchor、BazarLoader、BazarBackdoor、およびランサムウェアの Conti と Diavol の開発と展開を担当しています。また、Ryuk ランサムウェアの展開にも関与しています」としていることから7人はContiメンバーの可能性もある。
イギリスでは国家犯罪対策庁(NCA)がContiおよびRyukランサムウェアにより被害を受けた個人や企業計149を特定、これを受けてアメリカと協調した対策キャンペーンに乗り出しており、その最初の取り組みとして今回の共同制裁発令となったようだ。英当局は7人の制裁発表のリリースの中で「Conti ランサムウェアのグループは 2022 年 5 月に解散したが、このグループのメンバーは、英国を脅かす悪名高い新しいランサムウェア株のいくつかに引き続き関与している」とも指摘している。
■出典
https://home.treasury.gov/news/press-releases/jy1256
https://www.gov.uk/government/news/uk-cracks-down-on-ransomware-actors
