米司法省は国際的なサイバー金融詐欺グループのロシア人2人を起訴したと発表した。起訴されたのはウクライナ出身のMaksim Viktorovich Yakubets被告(32歳)とヨシュカル・オラ出身のIgor Olegovich Turashev被告(38歳)。逮捕につながる情報には最大500万ドルの懸賞金を出すという。サイバー犯罪者に対する懸賞金としては過去最大の額だ。
米英当局は連携して捜査を行ってきた。イギリス版FBIと言われるNCA(英国家犯罪対策庁)はNCSC(英サイバーセキュリティセンター)と協力して2014年からDridexの調査を開始した。Dridexは主にヨーロッパを拠点にした金融機関の顧客を狙ったマルウェア。40カ国以上からログイン認証情報を収集し1億ドル以上を詐取してきたとされる。
NCSCによると、メールの添付ファイルからデバイスに感染するほか、Emotetなど既存のマルウェアよりデバイスにドロップされて感染するという。そして感染したデバイスよりパスワード、個人情報、金融機関の認証データなどを盗む。トレンドマイクロによると、2014年9月~10月の間にDridexの影響を受けた国はオーストラリアがもっとも多く、イギリス、アメリカ、イタリアと続き日本はイタリアに次いで多かった。また、Dridexのスパムメールの発信はベトナムからがもっとも多く、次いでインド、台湾、韓国、中国の順だった。
2015年10月には米当局がDridexに指令を発するコマンド&コントロール(C&C)サーバーを閉鎖して無力化を図り、同年8月28日にキプロスで逮捕されたモルドバ人のAndrei Ghinkul(別名Andrei Ghincul)をDridexのボットネットの管理者として起訴した。
米司法省によれば、Andreiと共謀者はペンシルベニア州シャロンのファーストナショナルバンクの市学区の口座からウクライナのキエフの口座へ999.000ドルの電子送金をしようとしたほか、ファースト・コモンウェルス・バンクのPennecoオイルの口座からベラルーシのミンスクの口座に1,350,000ドル、さらにフィラデルフィアの口座に72.520ドルを送金しようとした。これらはいずれもPennecoオイルの従業員に送られたフィッシングメールを通じて得られたデータが使われ、マネーミュールを利用して資金洗浄を行おうとしたものとみられる。Andrei Ghinkulは2016年2月にアメリカに引き渡され、昨年12月に米連邦裁判所で有罪判決を受けている。
Yakubets drives a customised Lamborghini supercar with a personalised number plate that translates to ‘Thief’ & spent over a quarter of a million pounds on his wedding.
He is now subject to a $5 million US State Department reward – the largest ever reward for a cyber criminal. pic.twitter.com/a7s9tKFutt
— National Crime Agency (NCA) (@NCA_UK) December 5, 2019
Members of Evil Corp are living a lavish lifestyle, funded by the life savings of their victims.
If Maksim Yakubets, who used the online identity of ‘Aqua’, ever leaves the safety of Russia he will be arrested and extradited to the US. pic.twitter.com/BdoaxZrFBK
— National Crime Agency (NCA) (@NCA_UK) December 5, 2019
今回、米当局が起訴したMaksim Yakubets被告とIgor Turashev 被告はEvil Corpという犯罪グループを組織してDridexによるサイバー金融犯罪を主導していたとされ、また、FBIによるとMaksim Yakubets被告は金融機関を狙ったマルウェアとして広く知られるZeusの拡散にも関与しているとみられる。NCAによれば、Maksim Yakubets被告はモスクワのカフェの地下室から何十人もの人々を雇ってサイバー金融犯罪を手がけていて、カスタマイズされたランボルギーニを運転し、自身の結婚式では25万ドル以上を費やすなど豪勢な生活をしているようだ。こうした資金はサイバー金融詐欺により不正に取得したものをマネーミュールによってマネーロンダリングしてEvil Corpに送られたものとみられ、NCAでは「Yakubetsのマネーロンダラーのネットワークも標的にしている」としている。
・ NCA International law enforcement operation exposes the world’s most harmful cyber crime group
・NCSC UK and US investigations into harmful international cyber campaigns
・トレンドマイクロ オンライン銀行詐欺ツール「DRIDEX」、文書ファイルに埋め込まれた不正なマクロ経由で感染
・トレンドマイクロ オンライン銀行詐欺ツール「DRIDEX」とは
・Bugat Botnet Administrator Arrested and Malware Disabled
・Moldovan Sentenced for Distributing Multifunction Malware Package
・FBI Two Russian Nationals Engaged in Cybercrime Scheme That Infected Tens of Thousands of Computers
・米財務省 Treasury Sanctions Evil Corp, the Russia-Based Cybercriminal Group Behind Dridex Malware
