ロシア連邦保安局(FSB)は、米国政府の要請により、多発するランサムウェアグループ「REvil」のメンバーを逮捕しました。この重要な進展は、2国間の地政学的緊張が高まる中でのタイミングであることから、いくつかの懐疑的な見方とともに受け止められています。
FSBは声明の中で、REvilグループの14人のメンバーを拘束し、グループに属する多くの資産を押収する結果となった作戦で、彼らに関連する25のアドレスを捜索したと述べています。これには、暗号通貨を含む各種通貨の約680万ドル相当、高級車20台、コンピューター機器、REvilグループが作戦で使用した暗号通貨ウォレットが含まれています。
ウクライナで教育省や外務省など複数の政府機関のウェブサイトがダウンした一連のサイバー攻撃のニュースが流れる中、このような展開となりました。この攻撃の背後にロシアを拠点とする工作員がいるかどうかはまだ不明ですが、多くの人が彼らを容疑者と考えているようです。
FSBは、この調査を、Revilの活動を停止させ、その犯罪基盤を無力化することにつながった、複雑で協調した取り組みであると説明しています。FSBにREvilの首謀者を特定し、外国企業を標的とした同組織のランサムウェア活動の詳細情報を提供した米国当局の要請により、捜査と制圧が開始されたと、FSBは述べています。米国当局には、この作戦の全詳細が提供されたと付け加えています。
ロシアはこれまで、組織的なランサムウェアグループの保有を否定し、米国の要請にもかかわらず、彼らに対して何の措置もとってこなかったため、少なくともロシア当局が説明するREvilのテイクダウンは重要な意味を持ちます。バイデン大統領は2021年6月の会合で、米国の重要インフラはハッカーにとって立入禁止であるとロシアに警告し、プーチン大統領にランサムウェアやその他のサイバー犯罪グループに対して行動するよう促したのです。
Sodinokibiとしても知られるREvilの攻撃活動は2020年に表面化し、他の脅威グループに対してランサムウェア・アズ・サービスモデルでマルウェアを提供していました。このランサムウェアは、主要な組織に対するいくつかの攻撃で使用されていますが、2021年5月のJBS Foodsに対する攻撃ほど、米国とオーストラリアでの食肉加工と配送に大きな混乱を引き起こした問題はありません。また、2021年6月に発生したKaseyaへの攻撃では、マネージドサービスプロバイダーの顧客数千人が所有するシステムにランサムウェアが展開され、広く懸念を抱かせる事態となりました。
2021年11月、米国司法省は、REvilグループの主要人物の特定または所在につながる情報に対して1,000万ドル、関連者の逮捕と有罪判決につながる情報に対して500万ドルの報奨金を出すと発表しました。
真意に対する懐疑的な見方
複数の安全保障専門家がFSBの行動を歓迎し、全体的に良いことだと評した。
しかし、米国とロシアがウクライナへの侵攻を準備しているとの懸念から緊張が高まっている中での行動であることを考えると、その真の動機については懐疑的な意見もある。ウクライナ情勢を緩和するための両国間の協議は、今のところどこにもつながっておらず、この地域での紛争が米露関係の大きな崩壊につながるという懸念が高まっているのである。
「REvilをダウンさせることは、米国との協議中にロシアによく役立ち、ウクライナとの紛争に干渉する可能性がある西側諸国からの好意を引き出すのに役立ちます 」とJosh Lospinosoは述べています。「この公開は、ロシアに、REvilが身代金1100万ドルを受け取ったJBSのサイバー攻撃に責任があったという、もっともらしい反証も与えています。」
REvilをダウンさせることで、ロシアは重要なインフラに対するサイバー攻撃の猛威を真剣に受け止めているというメッセージを送ることができます。しかし、ランサムウェアグループ、特にプーチン政権と直接的・間接的に連携しているグループは、過去に立ち直った経緯があるとLospinosoは言います。REvilに代わる別のグループが出現する可能性は十分にあるという。
Immersive Labs社でサイバー脅威研究のディレクターを務めるケビン・ブリーン氏は、現在の地政学的状況からは、ロシアがREvil作戦の撤収でどのようなメッセージを発しているのかを把握するのは難しいと指摘する。この作戦が、ロシア当局によるサイバーセキュリティに関する長期的な協力の意思を示すものかどうかは、時間が経ってみなければわかりません。
「ロシア領内を発生源とするサイバー攻撃を妨害し、抑止するために国際当局と継続的に協力することは、政府が長期的な変革を推進する意図があるというメッセージになるでしょう」と、ブリーンは述べています。
少なくとも表面的には、FSBによるREvilの排除は、米国当局や同盟国からの情報に対してロシアが積極的に行動する姿勢を示しています。Trustwaveが2021年11月にモニターしたアンダーグラウンド・フォーラムでのチャットでは、ロシアを拠点とする脅威者が、国内の法執行機関に追跡されることを少なくともある程度は危惧していることが示されました。セキュリティ・ベンダーによると、フォーラムのメンバーの中には、自分たちが捕まる可能性があること、それにどう備えるか、また、その後に起こりうる刑罰について議論する者さえいたそうです。REvilグループは、その活動に対する法執行機関の関心が高まったため、ここ数カ月で活動を停止しています。
Stairwell社の脅威アナリストであるSilas Cutler氏は、REvilの逮捕は、ロシアがランサムウェアや国外で活動する他の脅威グループと戦っているように見せかけるための試みかもしれないと述べています。しかし、少なくともこれまでのところ、この行動は少なくとも一部のサイバー犯罪者を怯えさせるには至っていないようだ。
「サイバー犯罪フォーラムのメンバーは、逮捕された人々はこれらのグループの主要メンバーとは考えにくく、適切な当局に保護費を払わなかった中堅レベルの関連グループだろうとジョークを飛ばしてコメントしています」とCutlerは言います。「過去数年間、いくつかのランサムウェアファミリーは、ロシア語のアーティファクトを持つシステムに影響を与えないように特別に設計されています。これは、ロシアの法律に違反しないように、彼らのオペレーションが国際的なターゲットにのみ焦点を当て続けるようにするためと思われます。