サイバーセキュリティ研究者たちは、今年初めに世界中で何千もの攻撃を仕掛けた容疑で米国政府に起訴されたロシア人、ミハイル・パブロヴィッチ・マトヴェエフが率いるランサムウェア作戦の内部構造を明らかにした。
現在サンクトペテルブルク在住のマトヴェーエフは、ワザワカ、m1x、ボリセルシン、ウホディランソムワー、オレンジ、ワザとしても知られ、逮捕された少なくとも2020年6月以降、同国に滞在していたとされている。 ロックビット、バブク とHiveランサムウェアの亜種は、その開発と展開において重要な役割を果たした。
スイスサイバーセキュリティファームズ プロダフト The Hacker Newsと共有された包括的な分析では、"Wazawakaと彼のチームメンバーは、身代金の支払いに対する貪欲さを示し、サイバー操作において倫理的価値を非常に軽視していた "と述べられている。
「被害者が身代金の支払いに応じた後でも、機密ファイルの漏洩を威嚇したり、不正行為に関与したり、ファイルの保持を主張したりといった手口を使うことは、従来のランサムウェア集団の行動に蔓延している道徳的空白を例証している。
PRODAFTの調査結果は、さまざまなランサムウェアの亜種に関連する2023年4月から12月までの間に、さまざまな脅威アクター間で行われた数千件の通信ログを傍受することによってまとめられました。
Matawveevは、777、bobr.kurwa、krbtgt、shokoladniy_zayac、WhyNot、dushnilaの6人の侵入テスターのチームを率いて攻撃を実行したと報じられている。この組織は、メンバー間のより良い協力を促進するフラットな組織構造を持っている。
PRODAFTは、「各メンバーは、必要に応じてリソースや専門知識を提供し、新しいシナリオや状況に適応する際、驚くべき柔軟性と適応力を発揮している」と述べている。
Conti、LockBit、Hive、Monti、Trigona、NoEscapeの関連会社であることに加え、Matveevは2022年初頭までBabukランサムウェア一味の管理的役割も担っており、BabukとMontiの背後にいる開発者かもしれないDudkaという別の参加者と「複雑な関係」として知られるものを共有している。「DudkaはBabukとMontiの背後にいる開発者かもしれない。
マトヴェーエフと彼のチームが仕掛けた攻撃は ズーミンフォ そして センシス、初段 そして 外務省 VPNサービスのようなサービスは、被害者の情報を収集し、既知のセキュリティ脆弱性を悪用し、足がかりを得るために初期アクセスプロキシを使っている。さらに、カスタマイズされたツールと市販のツールを組み合わせて使用し、VPNアカウントをクラックさせ、特権を昇格させ、攻撃キャンペーンを効率化させている。
同社は、「最初のアクセス権を獲得した後、ワザワカと彼のチームは主に次のようなものを使用した。 パワーシェル コマンドを使用して、好みのリモート監視・管理(RMM)ツールを実行することができます。特に注目すべきは、MeshCentralはチームにとってユニークなツールキットであり、様々な業務で彼らが好んで使用するオープンソースソフトウェアとしてよく使用されています。"
PRODAFTの分析により、Matveevと、2014年に解体されたGameOver ZeusボットネットやEvil Corp.の開発に関連するロシア市民Evgeniy Mikhailovich Bogachevとの関連性がさらに明らかになりました。
注目すべきことに、Babukランサムウェアは2021年にPayloadBINと改名され、後者は米国が2019年12月に科した制裁を回避するため、明らかにEvil Corpと関連している。
PRODAFTは、「この技術的なつながりは、ワザワカと悪名高いサイバー犯罪者ボガチョフとの既知の関係と相まって、ワザワカ、ボガチョフ、そしてイービルコープの活動の間に深いつながりがあることを示唆している」と言う。
元記事はChief Security Officerによるもので、転載の際はhttps://cncso.com/jp/ロシアのハッカーがランサムウェア帝国を築いた-2。
