ブロックチェーン調査会社のチェイナリシス(米ニューヨーク)によると、マルウェアのTrickbotに関連するランサムウェアはこれまでに少なくとも7億2400万ドルの相当の暗号資産を収奪、Trickbotの犯罪グループは北朝鮮関連のLazarusに次ぐ巨額の違法収益を得ているという。
RyukやConti、Diavol、Karakurtと関係
Trickbotは2016年に特定されたトロイの木馬ウィルスで、主に金融データの窃取を目的にサイバー犯罪者に使われるようになり、その後、高度にモジュール化されてランサムウェアを投下するダウンローダーの役割を担うようになった。TrickbotはRyukやConti、Diavol、Karakurtなどのランサムウェアと関係しているとされる。これらランサムウェアはRaaS(Ransomware as a Service)として犯罪ビジネス化しており、核となる犯罪者グループがマルウェアの開発や管理、運営等を担い、アフィリエーターと呼ばれる実行犯がそれらランサムウェアを使って実際に攻撃を行っている。
チェイナリシスではブロックチェーン上の暗号資産の履歴から、RyukやConti、Diavol、Karakurtに関連付いているウォレットからTrickbotを管理しているSternに暗号資産が送られていることを突き止めている。アメリカとイギリスは共同でTrickbotの開発や管理に関係しているロシアの7人を制裁対象に指定したが、チェイナリシスは制裁指定された7人のうち4人に対してSternから資金が送られていることを把握しているという。Trickbotの開発や管理、運営をしているグループは、Wizard SpiderやUNC1878とも呼ばれおり、ロシアを拠点に活動しているサイバー犯罪グループだとされている。また、Contiランサムウエアグループと見なされることもある。
Lazarus、ハッキングによる収益が過去最高に
このグループは昨年2月のロシア軍によるウクライナ侵攻に際し、ロシアへの支持を表明、このことが契機となってグループ内部の文書が流出、このグループとロシア連邦保安局(FSB)の関係が表沙汰になった。アメリカはFSBを制裁対象に指定していることから、Contiランサムウェアの身代金要求に応じるとアメリカの制裁対象となる可能性があることから、被害者がContiの要求に応じなくなり、Contiランサムウェアは閉鎖に追い込まれたとされる。ただし、新たなランサムウェアによって活動は継続しているとみられている。
一方、Lazarusはチェイナリシスの「The 2023 Crypto Crime Report」によると、2022年に推定17億ドル相当の暗号資産をハッキングで奪い、これは年間のLazarusによる被害額の過去最高額だという。そのうち11億ドル相当はDeFiプロトコルのハッキングによるもので、Lazarusが2022年に激化したDeFiハッキングの原動力になっていたことを示している。これら違法に収奪した暗号資産による収益は北朝鮮の核兵器プログラムで使われていると見られている。
■出典
https://blog.chainalysis.com/reports/trickbot-ransomware-sanctions/
https://codebook.machinarecord.com/threatreport/16351/
https://blogs.trellix.jp/conti-leaks-examining-the-panama-papers-of-ransomware
https://www.fireeye.com/blog/jp-threat-research/2020/03/the-cycle-of-adversary-pursuit.html
