‘I scrounged through the trash heaps… now I’m a millionaire:’ An interview with REvil’s Unknown therecord.media/i-scrounged-th…
編集部注:ランサムウェアが現在のサイバー犯罪の最大の稼ぎ頭であることは否定できません。一攫千金を狙うグループの中には、要求額を7~8桁の金額に引き上げたり、支払いが行われなければデータをオンラインで公開すると脅したり、病院などの脆弱な組織をターゲットにしたりと、積極的に限界に挑戦しているところもあります。
大胆かつ収益性の高い手口で注目を集めているのが、Sodinokibiとして知られるREvilです。REvilは、ランサムウェア・アズ・ア・サービス(Ransomware-as-a-Service)と呼ばれる事業を展開しています。この事業では、開発者がマルウェアを関連会社に販売し、関連会社はそのマルウェアを使って組織のデータやデバイスをロックします。
REvilは、企業が要求に応じない場合に被害者のデータをネット上に公開するほか、当時のドナルド・トランプ大統領を恐喝しようとしたり、自分たちの活動で1億ドルの収入を得ていると主張したりして注目を集めています。また、「Unknown」という偽名を使っているREvilの代表者によると、このグループは2021年に大きな計画を持っているという。
Unknownの主張の中には、弾道ミサイルの発射システムや原子力発電所にアクセスできる関連会社など、突拍子もないものもありますが、不気味なほど真実味を帯びた報告書を読むまでは、そのような主張は信じられません。Recorded Futureはこれらの主張を確認することができません。Unknownは先日、Recorded Futureの専門家である脅威情報アナリストのドミトリー・スミリャーネッツに、ランサムウェアを武器にすること、政治に関与しないこと、新しい戦術を試すことなどについて聞きました。
ドミトリー・スミヤネッツ Unknownさん、ランサムウェアのビジネスを始めようと思ったきっかけは何ですか?
Unknown: 個人的に言えば、ずいぶん前のことです。winlockerやSMSがあった2007年から。その時も、しっかりと利益をもたらしてくれました。
DS: あなたは、ハッキングフォーラムで100万ドルの預金をし、1億ドルの収入があると言っていましたが、暗号通貨で支払いを受けることを考えると、今日ではおそらく5億ドルを持っていることになります。いくらあればランサムウェアをやめることができるのでしょうか?
UNK: あなたはすべてを正しく計算しました。預金が引き出されたのは、正確には為替レートの関係です。私個人としては、上限額はありません。ただ好きでやっているだけで、そこから利益を得ています。お金が多すぎるということはありませんが、お金が足りないというリスクは常にあります。広告主に限って言えば、ある人は5,000万ドルで十分だと思って引退しました。しかし、4ヶ月後に戻ってきて、お金が足りなかったことがわかった。考えてもみてください。
私個人としては、上限額はありません。ただ好きでやっていて、そこから利益を得ているだけです。お金が多すぎるということはありませんが、お金が足りないというリスクは常にあります。
DS:以前、あなたは「自分は非政治的であり、純粋に経済的な動機で行動している」とおっしゃいました。しかし、もし十分にお金を稼いだと判断した場合、あなたの視点が変わり、地政学に影響を与えることになるのでしょうか?
UNK:私は、交渉材料にはなりたくありません。私たちは政治に立ち向かってきましたが、良いことは何もなく、ただ損をしただけでした。今の地政学的な関係では、何もしなくてもすべてが利益になります。
DS: REvilの特徴は何ですか?コードですか?アフィリエイト?メディアの注目度?
UNK:そのすべてが連動しているのだと思います。例えば、このインタビュー。なぜ必要なんだろうと思いますよね。と思われるかもしれませんが、逆に言えば、競合他社よりも良いものを提供しているとも言えます。変わったアイデア、新しい方法、ブランドの評判など、すべてが良い結果をもたらします。先ほど言ったように、我々は恐喝のための新しい開発部門を作っています。競合他社を見てみると、残念ながら我々のアイデアを真似している人が多く、中でも驚いたのは、メッセージの文体です。これはいいことです。彼らは、自分たちが私たちと同じくらい優れていることを示そうとし、同じレベルに到達しようとし、さらには何かを超えようとしています。そして、いくつかの点ではすでに彼らのほうが優れています。例えば、Linuxのバージョンなどです。しかし、これは一時的なものです。もちろん、私たちもすべてのことに取り組んでいますが、1つの注意点があります。それは、すべてがより良くなるということです。そのため、少しずつ遅くなります。
REvilは、ダークウェブの「Happy Blog」を使って、支払いに応じな
いランサムウェア被害者のデータオークションを公開しています。
いランサムウェア被害者のデータオークションを公開しています。
DS: 楕円曲線暗号(ECC)は本当に良い選択でした [編集部注:ECCはRSAベースの公開鍵システムよりも鍵のサイズが小さく、アフィリエイトにとって魅力的なシステムです] 他に自慢できる点は、コードのどの部分ですか?コードの新機能の時期はどのように決めていますか?
UNK: IOCP(Input/Output completion port)による検索、crabs [carders]から借りた裏接続、サーバー側の保護システムなど、利点はたくさんありますが、AVレビューを読んだ方が良いでしょう。個人的には、暗号化システムがとても気に入っています。ほぼ完璧にできています。
DS:私は、あなたのマルウェアで見たパッカーやクリプターの種類の多さに感銘を受けました。それらを他の人に販売しているのですか?以前、「Maze」というマルウェアのサンプルに使われていたものを見たことがあります。販売しているのでしょうか、それとも社員の誰かが競合他社に移ったのでしょうか?
UNK:パートナーがアフィリエイトプログラムを乗り換えることが多いので、そういうバラエティに富んだものになっています。
DS:Pavel Sitnikovは、あなたがMakssim PlakhtiyからGandCrabのコードを買ったと言っていましたが、それは本当ですか?
UNK:確かに買ったのは事実ですが、名前などは不明です。たとえそれが「Rotten Gene」だったとしても、私たちは気にしません。
DS:ランサムウェアは、サイバー戦争のための完璧な武器だと思いますか?いつか本当の戦争が始まるのではないかと恐れていますか?
UNK:そうですね、武器としては非常に大きな破壊力があります。少なくとも、いくつかの関連会社が弾道ミサイルの発射システムにアクセスでき、1つは米国海軍の巡洋艦に、3つ目は原子力発電所に、4つ目は兵器工場にアクセスできることを知っています。戦争を起こすことは十分に可能です。しかし、それだけの価値はありません。
武器としてのランサムウェアは非常に破壊的です。戦争を始めることは十分可能です。しかし、その価値はありません。その結果は利益になりません。
DS:CIS(主にポストソビエト共和国)以外に、どのような地域を避けようとしていますか?お金を払わない組織は?
UNK: グルジアとウクライナを含むCIS諸国。主に地政学的な理由からです。第二に、法律のため。三つ目は、愛国心によるものです。インド、パキスタン、アフガニスタンなど、非常に貧しい国は支払いをしません。
DS:以前、あなたとあなたの関連会社は、海外に出ることのリスクを理解しており、旅行をしないとおっしゃっていました。あなたは、「変化の風」が吹いて、現地の法執行機関があなたの活動に注目するようになると思いますか?
UNK:政治的な話になると、そうですね。CISの国々に限って言えば、そうです。それ以外のことについては、私たちは中立です。
DS:ランサムウェアのギャングや関連会社が告発されたり逮捕されたりするのを見て、あなたはいつもどのように感じていますか?NetwalkerとEgregorは、今回の捜査以降、活動を縮小しましたが、そのことについてどう感じていますか?
UNK:ニュートラルです。これは通常のワークフローです。迷宮の閉鎖により、有望なアフィリエイトの数が増えただけです。ですから、私たちにとっては、ある意味、ポジティブなことだと思います。
DS:一度に登録したアフィリエイトの数はどれくらいでしたか?
UNK: 60
DS: アフィリエイトが退会するのは、ランサムウェアをやめたからなのか、それともより良い料金で利用できる別のランサムウェア・アズ・ア・サービスに移ったからなのか。アフィリエイトが競合他社に移った場合、何か問題が発生するのでしょうか?
UNK: これには確かに二つの側面があります。30%の人は、十分に稼いだからといって去っていきます。しかし、当然のことながら、彼らは遅かれ早かれ戻ってきます。そうでなければ、レートを下げた競合他社(最大90%など)に行ってしまいます。もちろん、これは不愉快なことですが、これが競争なのです。つまり、お客様が戻ってくるようにする必要があるのです。他の人が持っていないものを与えるのです。
DS:オペレーターの中には、収益の何パーセントかを慈善団体に寄付している人がいます。これについてはどう思われますか?100万円を誰に寄付したいと思いますか?
UNK:匿名性の高いフリープロジェクト
DS:パンデミックが始まってから、被害者団体との交流はどのように変わりましたか?
UNK:確かに変わりましたね。危機感が伝わってきます。以前のような金額を支払うことができないのです。医薬品メーカーは別ですが。彼らにはもっと注意を払うべきだと思います。彼らはうまくやっている。私たちは彼らを助けなければなりません。
DS:あなたのオペレーターは、サイバー保険に加入している組織をターゲットにしていますか?
UNK: そう、これは最もおいしいネタのひとつです。特に保険会社を最初にハックして、その顧客ベースを把握し、そこからターゲットを絞って仕事をします。そして、そのリストを確認した後、保険会社自身を攻撃するのです。
DS:ランサムウェアのネゴシエーターにはどのように接していますか?プロとの取引は簡単ですか?彼らは助けてくれるのか、それとも難しくするのか?
これは、最もおいしい食べ物のひとつです。特に保険会社を最初にハックして、その顧客層を把握し、そこからターゲットを絞って活動する。そして、そのリストを確認した後、保険会社自身を攻撃するのです。
UNK: 70%は価格を下げるために存在しています。非常に多くの場合、彼らはそれを難しくします。例えば、10億ドルの売上がある会社が、100万ドルで身代金を要求されたとします。その会社が100万ドルで身代金を要求されています。交渉人がやってきて、「気にしない、1万5千ドル以上は出さない」と言う。我々は90万ドルに値下げする。彼は2万ドルを提示した。そうなると、彼との会話は無意味だと理解して、ネットワークのオーナーが彼の頭を叩いて、そのような交渉をしたことを示すようにデータを公開し始めます。もちろん、そういう仕掛けをした後は、値段が上がる一方です。100万円ではなく、1.5万円を支払うことになる。目立ちたがり屋は嫌われるからね。ましてや目立ちたがり屋は、かえって損をすることが多いのです。彼らが純粋に役立つのは、BTCやMoneroを買うときだけ。あとは有害です。
DS: 侵害された企業に特定の交渉者を推薦するのか、それとも彼ら自身が行動するのか?誰もがデータを買い取るための100BTCを手元に持っているわけではありませんし、急に手に入れるのもそう簡単ではありません。
DDoSで仕上げることは、会社を殺すことです。文字通りね。また、この戦術を会社のCEOや創業者の迫害にも拡大していくと思います。
UNK: 私たちは、きちんとした仲介業者に手紙を書いてターゲットを知らせ、彼らが自分たちでアプローチできるようにしています。適正な仲介者には割引をして、仲介者が少しでも利益を得られるようにし、企業側の支払いは少なくしています。また、納期については、いつでも余裕を持って対応することができます。一般的には、「他に選択肢はないが、それほど高くない金額を支払わなければならない」という理解があれば、共通の言語を見つけることができるでしょう。しかし、「お金がない」とか「10分の1しか払わない」というような妄言が出てきたら、自分を責めるしかありません。
DS:あなたは、DDoS(編集部注:分散型サービス拒否攻撃)によってさらに圧力をかけるのが好きだと言っていましたね。この方法はどのくらい効果があるのでしょうか?
UNK:コールとは対照的に、あまり使用しません。呼びかけはとても良い結果をもたらします。それぞれのターゲットに電話をかけ、そのパートナーやジャーナリストにも電話をかけることで、プレッシャーが大きくなります。その後、ファイルを公開するようになれば、それはそれで素晴らしいことだと思います。しかし、DDoSで終わらせるということは、その会社を殺すということです。文字通りです。また、この戦術は、その会社のCEOや創業者の迫害にも拡大していくと思います。個人的なOSINT、イジメ。これも非常に楽しい選択肢になると思います。ただし、身代金が支払われるまでにリソースを使えば使うほど、これらはすべてサービスのコストに含まれることを被害者は理解する必要があります。)
DS: 秘密を教えてください。
UNK:子供の頃、私はゴミの山を漁り、タバコの吸い殻を吸っていました。学校へは片道10kmの道のりを歩いて通いました。半年間、同じ服を着続けました。若い頃、共同生活をしていたアパートでは、2日、3日と食事をしなかったこともありました。今、私は億万長者です。