ランサムウェアグループALPHV、偽の終焉を演出し資金持ち逃げの疑い

Last Updated on 2024-03-07 08:38 by 荒木 啓介

ALPHV（別名BlackCat）ランサムウェアグループが、自身のダークウェブサイトで「このウェブサイトは押収されました」というメッセージと法執行機関のバッジを表示し、自らの終焉を偽装した。しかし、この行動は法執行機関からの公式な発表がなく、専門家はALPHVが以前に法執行機関から提供された押収バナーを再利用し、アフィリエイトの資金を持ち逃げするための偽の押収を演出したと指摘している。

2024年2月21日、ALPHVのアフィリエイトがアメリカの大手ヘルスケア技術会社Change Healthcareを攻撃し、アメリカ病院協会（AHA）のリック・ポラック会長兼CEOはこれを「アメリカの医療システムに対する最も重大かつ影響力のある事件」と評した。3月1日にはChange HealthcareがALPHVに350ビットコイン（約2200万ドル）を支払ったことが示されるビットコインウォレットへのリンクを含む主張が、RAMPダークウェブフォーラムで報告された。その後、ALPHVはアフィリエイトのアカウントを停止し、ランサムウェアのソースコードを500万ドルで販売すると発表した。

この偽の押収劇は、法執行機関のバナーが以前の押収時に使用されたものと同一であること、そしてそのバナーが以前の押収サイトから単純にコピーされた可能性があることから疑問視されている。ランサムウェア研究者ファビアン・ウォサーは、この行動に関与しているとされるEuropolやNCAに連絡を取ったが、彼らはいかなる関与も否定した。

【ニュース解説】

ALPHV（別名BlackCat）ランサムウェアグループが、自らのダークウェブサイトに「このウェブサイトは押収されました」というメッセージと法執行機関のバッジを表示し、自身の終焉を偽装した事件が発生しました。この行動は、法執行機関からの公式な発表がないことから疑問を呼び、専門家たちはALPHVが以前に法執行機関から提供された押収バナーを再利用し、アフィリエイトの資金を持ち逃げするための偽の押収を演出したと指摘しています。

この事件は、ランサムウェア攻撃とその後の偽の押収劇によって、サイバーセキュリティの世界における新たな脅威の形態を示しています。ランサムウェア攻撃は、攻撃者が被害者のデータを暗号化し、復号化のための身代金を要求するサイバー攻撃です。ALPHVは、このランサムウェアを「Ransomware-as-a-Service（RaaS）」として提供し、犯罪者のアフィリエイトが身代金の一部を支払う形で利用していました。

この事件の背景には、2024年2月21日にALPHVのアフィリエイトがアメリカの大手ヘルスケア技術会社Change Healthcareを攻撃し、アメリカ病院協会（AHA）のリック・ポラック会長兼CEOによって「アメリカの医療システムに対する最も重大かつ影響力のある事件」と評されたことがあります。この攻撃により、Change HealthcareはALPHVに約2200万ドル相当の350ビットコインを支払いました。

しかし、この支払いの直後にALPHVはアフィリエイトのアカウントを停止し、ランサムウェアのソースコードを500万ドルで販売すると発表しました。その後、偽の押収劇が演じられましたが、この行動は専門家によって疑問視され、法執行機関の関与を否定する声が上がりました。

この事件は、ランサムウェア攻撃の脅威がいかに進化しているかを示しています。また、犯罪者が法執行機関の手法を模倣し、自らの犯罪行為を隠蔽するために利用することのリスクを浮き彫りにしています。このような偽の押収劇は、被害者やセキュリティ専門家にとって混乱を招き、真の法執行機関の活動を妨げる可能性があります。

この事件から学ぶべき教訓は、ランサムウェア攻撃に対する警戒を怠らず、セキュリティ対策を常に最新の状態に保つことの重要性です。また、法執行機関との連携を強化し、サイバーセキュリティの脅威に対する共同の取り組みを進めることが求められます。

from ALPHV ransomware gang fakes own death, fools no one.