ダークウェブの影の隅で、米国、英国、カナダの若いハッカーがロシアのランサムウェア ハッカーと出会い、協力し、犯罪の強力なパートナーになりました。

昨年、ランサムウェア ハッカーは病院、製薬会社、テクノロジー企業、さらにはラスベガス最大のホテルやカジノを標的にしました。FBIのトップサイバー当局者であるブライアン・ボーンドラン氏は、ランサムウェアを「巨大な問題」と呼び、どの分野、企業、組織の種類もハッカーに立ち入り禁止ではないと述べた。身代金の支払いによる世界的な損失は年間 10 億ドルを超えると推定されています。

「数字がどう見ても、これは世界経済、米国経済、そして米国の安全保障にとって問題だ」とボーンドラン氏は語った。

散らばったスパイダーハッカー

主に英語を母国語とするハッカーのゆるやかなグループ。散らばった蜘蛛最近のランサムウェア攻撃の一部には、FBI による捜査が関与しているとヴォーンドラン氏は述べた。このグループは、Star Fraud、UNC3944、Octo Tempest としても知られています。Scattered Spider ハッカーはソーシャル エンジニアリングの専門家とみなされます。

「彼らの成功の一部は、彼らが西洋文化に堪能だからだ。彼らは私たちの社会がどのように機能するかを知っている」とサイバーセキュリティ企業ユニット221Bの首席研究責任者アリソン・ニクソン氏は語る。「彼らは、誰かに何かをしてもらうために何を言えばよいかを知っています。」アリソン・ニクソン

彼女はこれを新しい、しかし驚くほど破壊的なオンライン サブカルチャーであると説明しています。Com のメンバーは、マイクロソフト、エヌビディア、エレクトロニック アーツなどの企業をハッキングしました。 

ニクソン氏によると、関係者の数は2018年以降、わずか数百人から数千人へと爆発的に増加したという。

「インターネット、人々がたむろするソーシャルスペース、ゲームサーバーを介して接続されている」とニクソン氏は語った。「それは、悪い子供たちがたむろしている路地裏に似ていますが、インターネット上です。」

関与者の大半は25歳以下の男性だが、ニクソン氏は、13歳の若者も重大犯罪の実行に関与していると述べた。 

• ダークウェブ上のランサムウェアギャングに侵入

メンバーはテレグラムのようなメッセージング アプリでコミュニケーションをとりますが、そのおしゃべりは人種差別と性差別の有毒なシチューです。彼らはよく、自分たちが騙したお金と、それがいかに恐ろしいものであるかを自慢します。

ニクソン氏は「若者が犯罪者やギャングのメンバーと社交したり交流したりできる有害なオンラインスペースが存在する」と述べた。「そして、これらすべての最終結果は、犯罪を美化し、犯罪が世界にどれだけ害をもたらすかによって個人の価値を測るオンラインサブカルチャーが形成されたのです。」

ハッカーがチームを組む

Scattered Spider は、Com の最も洗練された派生製品の 1 つです。彼らの犯罪的エクスプロイトはサイバーセキュリティ企業の注目を集め、他の犯罪ハッカーからも尊敬を集めています。その中には最も悪名高いロシアのランサムウェアギャングのひとつ、ALPHV としても知られる BlackCat も含まれます。彼らは英語を母国語とする若い西洋人を可能性があると見なしていました。ランサムウェア攻撃の「力の倍増」。 

「歴史的に見て、ロシアのサイバー犯罪者は西側のサイバー犯罪者と協力することを好まなかった」とニクソン氏は語った。「言葉の壁があるだけでなく、彼らは彼らをちょっと見下し、プロフェッショナルではないとみなしていました。」

Scattered Spider は、英語とソーシャル エンジニアリングのスキルを利用して、企業やその他の組織に侵入します。BlackCat は、そのエクスペリエンス、プラットフォーム、および最近の歴史の中で最も重大なランサムウェア攻撃の一部で使用されているマルウェアを提供します。 

サイバーセキュリティ研究者らは、BlackCat は 2021 年の攻撃を担当したロシアのサイバー犯罪ハッキング グループ DarkSide/BlackMatter の元メンバーで構成されていると考えています。植民地時代のパイプラインそれが東海岸全域でガス不足を引き起こした。また、FBI の勧告によれば、「BlackCat/ALPHV の開発者と資金洗浄者の多くは DarkSide/BlackMatter と関係があり、彼らがランサムウェア作戦に関する広範なネットワークと経験を持っていることを示しています。」

「これはリブランディングと呼ばれています」と、サイバーセキュリティ会社Analyst1のチーフセキュリティストラテジストであるジョン・ディマジオ氏は言う。ディマジオは、ランサムウェアとさまざまなサイバー犯罪グループ間の関係を調査しています。 

「サービスとしてのランサムウェア モデルでは、これらすべてのリソースを提供し、仕事を楽にするためにサービスを攻撃するサービス プロバイダーという中核集団が存在します。そして、彼らのために働く請負業者であるハッカーがいます。」と同氏は述べました。ディマジオ。

BlackCat のような老舗のロシアのギャングは、Scattered Spider のような提携ハッカー グループに、最新のマルウェアや身代金交渉や資金洗浄の経験などのサービスを提供しています。被害者が身代金を支払った場合、資金は分割されます。 

ランサムウェア攻撃により企業は崩壊する

Scattered Spider と BlackCat は両方とも 2023 年 9 月のクレジットを主張しましたMGM リゾートに対するランサムウェア攻撃、ホテルとカジノの巨人に1億ドル以上の費用がかかりました。この影響で、MGM グランド、アリア、マンダレイ ベイ、ニューヨーク ニューヨーク、ベラージオなど、ラスベガス ストリップの最も有名なホテルやカジノ 10 軒の営業が中断されました。 

「ラスベガス・アドバイザー」を出版するアンソニー・カーティス氏は、ランサムウェア攻撃があった間、MGMの敷地内にいた。何千台ものスロットマシンが突然正常に動作しなくなったため、人々は唖然としたと彼は言う。

「そこで突然、人々は『どうやってお金を手に入れたらいいの？何が問題なの？』と言うようになったのです。」そして人々はそこに座って待っていて、給料を受け取ることができなかった」とカーティス氏は語った。 

サイバー攻撃の結果、エレベーターが故障し、駐車場のゲートがフリーズし、デジタルドアキーが機能しなくなった。コンピュータがダウンしたため、予約はロックされ、フロントデスクには列ができなくなりました。

「テクノロジーを必要とするものはすべて機能しませんでした」とカーティス氏は語った。 

MGM リゾーツは取材の要請を断ったが、ハッキングから 1 か月後の会見で CEO 兼社長のビル・ホーンバックルは混乱が壊滅的だったことを認めた。 

ホーンバックル氏は会見で、「ホテルの客室数が3万6000室と地域の不動産がいくつかある状況で、今後4、5日間は完全に暗闇の中にいた」と述べた。

ハッカーたちは、MGM のデータのロックを解除するために 3,000 万ドルを要求しました。同社は拒否しましたが、それでも代償を支払いました。収益の損失は推定 1 億ドルで、さらにサーバーの再構築にはさらに数百万ドルがかかりました。

ハッカーはソーシャル エンジニアリングを使用して MGM のネットワークに侵入しました。彼らは従業員に焦点を当て、ダークウェブや LinkedIn などのオープンソースから情報を収集しました。次に、滑らかに話すハッカーが従業員になりすまして、MGM 技術ヘルプ デスクに電話をかけました。ハッカーはテクニカル サポートにパスワードをリセットするよう説得しました。これにより、ハッカーは MGM のコンピュータに侵入し、破壊的なマルウェアを解き放ちました。 

カーティス氏は、これは「オーシャンズ11」強盗のサイバー犯罪者版だと語った。 

「これらのハッカーたちは形勢を逆転することができた」とカーティス氏は語った。「カジノには独自のシステムがあり、独自の保護があり、専門家がおり、独自のセキュリティがある。彼らの方が優れています。」

その後、MGM の最大の競争相手、シーザーズは、同時期にソーシャルエンジニアリング攻撃も受けたことを認めた。同一グループによるものとみられる。シーザーズは1500万ドルの身代金を支払ったが、何の混乱も受けなかったと伝えられている。 

「FBIの観点から言えば、私たちの立場は身代金を支払わないことを推奨するということだ」とヴォーンドラン氏は語った。「しかし、私たちはそれが危機の時期におけるビジネス上の決定であることを理解しています。」

同氏はラスベガスの事件で逮捕者が出たかどうかについては言及を避けた。

将来への不安

ランサムウェアによるハッキングは年々被害が大きくなり、破壊的な被害が発生しており、サイバーセキュリティ研究者らは状況がさらに悪化するのではないかと懸念している。 

ディマジオ氏は、ロシア政府はロシアのランサムウェア犯罪組織に安全な避難場所を提供していると述べた。同氏は、ハッカーらがロシアの組織を標的にしない限り、訴追されることはないと付け加えた。

「それはクレイジーですよね？ でも、それが仕組みなんです」とディマジオ氏は語った。 

最も成功しているロシアのギャングは、簡単に操作できるオンライン プラットフォームを備えた合法的な企業のように運営されています。ディマジオ氏によると、リーダーは30代と40代の人々だという。彼らは多くの場合、経済的な背景を持っています。 

「マルウェアやランサムウェアの開発を専門とする人材がおり、彼らの需要は非常に高い」とディマジオ氏は語った。

ロシアのランサムウェアは非常に脅威となっているため、国家安全保障局のエリートサイバー戦士が戦いに参加しています。先月退職するまでNSAのサイバーセキュリティ部長を務めていたロブ・ジョイス氏は、コロニアル・パイプライン攻撃は警鐘だったと語った。 

「このことが私たちを後退させ、この外国の脅威に対してもっと資源を投入する必要があると判断した」とジョイス氏は語った。「それがNSAがもたらすことができる価値であり、これらの活動の一部に関与している人々、特定の人々を特定できることです。」

NSA は、コロニアル パイプライン攻撃の犯人であるロシアのハッカーの特定に協力しました。そして数カ月間の交渉を経て、2022年1月にロシアは同氏と他の共犯者を逮捕した。しかし、それは5週間後にすべて崩れ去った。 

「ウクライナ侵攻後、それらの人々は刑務所から釈放された」とジョイス氏は語った。 

そして今、ロシアのハッカーは、Scattered Spider の英語を母国語とする若いハッカーとチームを組みました。FBIのヴォーンドラン氏はこれをサイバー犯罪の進化と呼んでいる。

「我々が対峙しているのは非常に有能な敵対者であり、彼らは非常に仕事が上手だということを知ることが重要だと思う」と同氏は語った。「私たちも仕事はとても上手です。」

FBIは1月、仮想通貨80万ドルを盗んだ容疑でフロリダ州出身のノア・アーバンという19歳の少年を逮捕した。アーバンは無罪を主張した。サイバー捜査官は彼をScattered Spiderと結びつけているが、今のところカジノ強盗とは結びついていない。MGM への攻撃を成功させた Scattered Spider ハッカーは、ロシアのハッカーと邪悪な同盟を結び、今もオンラインで、人目につかないところに隠れています。ニクソン大統領はラスベガスで起きたことを前兆と呼んでいる。 

「サイバー犯罪のレベルは、圧倒されるほどに高まっています」と彼女は言う。「そして、状況は年々悪化している。そして守備側としては、まるですべての戦いに勝ち、戦争に負けているような気分だ。」