2022年4月、ランサムウェア集団が「コロンビア特別区首都警察が要求を払わないなら、警察の情報提供者や他の機密情報を暴露する」と脅迫する事件が発生しました。
この大胆な攻撃は、Babukと呼ばれる集団によるもので、2021年初頭、身代金の支払いを拒否した被害者から盗んだデータベースをウェブサイトに掲載し、評判となりました。コロンビア特別区首都警察を恐喝しようとしたわずか数日後、Babukはランサムウェアのアフィリエイトプログラムを終了し、代わりにデータの窃盗と恐喝に専念すると発表しました。
2022年初め、サイバーセキュリティ・ジャーナリストのBrian Krebsは、Mikhail Matveevという1人の男についての詳細を明らかにしました。彼はまた、「Wazawaka」というハンドル名を含む他の多くのグループやIDに関連していました。
Matveev氏は、Recorded Futureのアナリスト兼プロダクト・マネージャーのDmitry Smilyanets氏に、他のハッカーとの交流、彼が関与したランサムウェア攻撃の詳細、Babukという名前に落ち着いた経緯などを語りました。
Dmitry Smilyanets(DS):この1年間、研究者たちはあなたをさまざまな名前で呼んできました。Babuk、BorisElcin、Wazawaka、unc1756、Orange、そしてKAJITなどです。これらはすべて、本当にあなたの名前なのでしょうか?それとも何かの間違いでしょうか?
Mikhail Matveev(MM):はい、これらのニックネームは、1つを除いてすべて私のものです。私はKAJITであったことは一度もありません。このことはあちこちの掲示板で、またいわゆる研究者やジャーナリストにさえも証明するのに疲れました。
DS: 昨年4月にワシントンDCのコロンビア特別区首都警察がランサムウェア攻撃を受けた後、あなたは「見破られた」のです。あなたは、同署のサーバーから盗んだデータを、情報提供者のデータベースなど、恐喝に利用したんです。しかしその後、ブログが消え、Babukはバラバラになり、ソースコードも流出しました。何があったんだ?
MM:警察関連の事件が起こる少し前に、掲示板に書き込んできた男がいたんです。ニックネームは伏せますが、誰のことかよくわかると思います。彼は、"超カッコイイ製品があるんだ "と言ってきたんです。彼は私にいくつかのビルドを送り、私はそれをテストしましたが、すべてうまくいきました。すべてが私に合っていました。その人物は適切に思えました。私たちはこの機会に開発を始め、ある会社がこの製品でロックオンされました。
私たちはこれをBabukランサムウェアと呼びました。すべてがうまくいきました。彼らは身代金を支払いました。私たちはすべてを復号化しました。この後、私たちはアフィリエイト・プログラムを作ろうと思い、私は(ランサムウェアのアフィリエイト管理)パネルのプログラマーを探しました。すると、ある同志が私たち(アフィリエイター)のところにやってきて、実は彼は警察署にアクセスできたと言うのです。私はこの攻撃を実行したわけではありません。しかし、彼はその攻撃を全面的に実行したのです。警察署を暗号化し、すべてをダウンロードしたのです。
しかし、何も得られなかった。結局、「ウンコを漏らして逃げた」のである。警察が提示した10万ドルの身代金を拒否したのだ。しかし、私の考えはこうだ。「身代金を受け取らないのであれば、このデータをブログに掲載する」というものだった。それに対して、アフィリエイターたちは、「そんなことはしないでくれ」と、おどおどしながら私に頼んできた。私は、「盗まれたデータはBabukのアフィリエイトプログラムの所有物です」と伝え、このアフィリエイターをブロックして、ブログにデータをアップロードし始めたんです。
アフィリエイトは、Torのドメインが私のものだったので、新しいBabukブログを上げようとしました。しかし、私はそれをさせなかったので、アフィリエイトプログラムは崩壊してしまいました。このアフィリエイトプログラムの崩壊は、警察のハッキングが契機となりましたが、これに至るまでには様々な状況がありました。たとえば、ESXiハイパーバイザー用の復号器には大きなバグがあった[VMware ESXiは、VMware社が開発した、仮想コンピューターを展開・提供するためのエンタープライズクラスのタイプ1ハイパーバイザーである]。これはディスクからの出力をゼロにするだけで、少なくとも2社のデータを破壊した。私たちは復号機の代金として彼らから金を受け取ったが、彼らはデータを復号化することはできなかった。実質的に、私たちは彼らを詐欺にかけたのだ。
DS:その後、RAMPフォーラムが登場しました[注:RAMPとは、ランサムウェアの運営者やアフィリエイターが自社製品を宣伝する犯罪的なアンダーグラウンド・フォーラムのこと]。なぜそれを作り、なぜそれを他人に譲渡したのですか?
MM:RAMPは、Babukのオニオンドメインを利用するために作りました。幸いなことに、Babukには膨大なトラフィックがありました。それで、RAMPのフォーラムを作るというアイデアが生まれました。このフォーラムが人気を博したとき、私は関わりたくないと思いました。なぜなら、まったく利益がないからです。DDoS(分散型サービス拒否)攻撃も頻発しています。結局、エンジンをゼロから書き直して、大金をつぎ込むことになったのです。
すると、そこで怪しげなことが始まり、全員の確認が必要になった。私は、「神様、どうしてこんなことにサインしてしまったんだろう」、と思いました。そのフォーラムでKAJITに出会いました。KAJITに「モデレーターになって、みんなを認証してくれたら、いくらかお金をあげるよ」と言ったんです。こうして、フォーラムはKAJITの手に渡った。その後、私の人生にはさまざまな問題が起こりました。私は酒に溺れ、フォーラムに費やす時間が全くなくなり、フォーラムをKAJITに譲りました。その後、アフィリエイト・プログラムから手紙が来るようになり、奇妙な出来事が続きました。彼らは、「一体何をやっているんだ、このケダモノが」と言ったのです。パネルのスクリーンショットが流出したんだ 」と。私はこの事態を恥ずかしく思いました。私はフォーラムに行き、Borisに代わってKAJITのために個人的な苦情を開きました。その時、LockBitのサポートととてもうまくコミュニケーションが取れました。彼は私にとって普通の人に見えたので、この交渉で彼を引き上げたのです。KAJITは、自分はBANされないし、フォーラムを誰にも教えないと言っていました。[XSS]被害フォーラム管理者は、KAJITにフォーラムを誰かに譲渡するよう提案し、私の知る限りStallmanがそれを手に入れました。RAMPフォーラムはまだ存在しますが、私はそこに行くことはありませんし、Stallmanとはあまり接触していません。
DS: 同じネットワークで、異なるアフィリエイト・プログラムの人たちが競って被害者をゆすり取ることはよくあることですか?そのような状況に陥ったことはありますか?
MM:これはよくあることです。特に、複数の人がエクスプロイトを所有している場合や、初期アクセス認証情報を抽出する話であれば、同じトラフィックマーケットからログを流し込むなどです。私はGitHubから、いわゆる概念実証のソースコードをいくつか取り寄せて、それを修正しました。思い起こせば、フォーティネットのVPNには有名なCVEがありました。それをフォーラムのあるプログラマと一緒に見つけました。IPアドレスのリストをもとに、約48,000のエントリーポイントを入手しました。当時はとても驚きました、本当にショックでした。しかし、このリストの3%さえもうまくいきませんでした。時間が足りなかったのです。
そして、他の人たち、つまり競合他社がこの脆弱性を使い始めると、ネットワークをまたいで交錯するようになりました。私はよく、誰かがすでにロックしたネットワークに入り込んで、触らないようにしていました。2回目の暗号化は私の仕事ではないので。しかし、中にはネットワークをオーバーロックしてしまう人もいて、暗号化されているのを見て、誰にも分からないようにもう一度暗号化するのです。開発中にネットワーク上ですれ違い、連絡先を交換し、次にどうするかということを話し合ったこともあります。基本的にいつも意見が一致していました。
そして、その後、他のプロジェクトも共同で行うということもありました。2022年の夏は、みんなが素材に飢えているので、こんなことがしょっちゅう起こるんです。どうすれば初期アクセスにたどり着けるのか?実は、選択肢はあまりないんです。VPN機器の様々な製品にRCEのような脆弱性があり、ネットワークにアクセスできるものは全てあります。しかし、基本的には、誰もがトラフィックの交換から殺到し、独自のトラフィックはほとんどありません。そして、それを持つ人々は、彼らは自分自身のためだけに注ぐか、すでにいくつかのチームで働いているので、ネットワーク上の利害の対立があることは絶対に正常であり、今後はさらにそれが大きくなります。
DS: 印象に残った攻撃について教えてください。最も速かったのはどれですか?ネットワークに最初に侵入してから支払いを受けるまで、どれくらいの時間がかかりましたか?
MM:そのような攻撃をいくつか挙げると...そうですね、面白いものが結構ありましたね。攻撃について話す前に、それを要約したいと思います。ネットワークには、小規模なもの、中規模のもの、そして非常に大規模なものがあります。そして、10億ドルの収入を持つ組織のネットワークで作業する方が、900万ドルの収入を持つ組織のネットワークで作業するよりもはるかに簡単だと申し上げましょう。その理由をお話ししましょう。制限のある小さなネットワークよりも、隠れやすいコンピュータがたくさんあり、操作しやすいからです。とても速く動かなければならないのです。そして、私がキャリアをスタートさせたとき、BlueKeep - Microsoft Remote Desktopの下にある脆弱性 - から始めました。すぐにでも侵入しなければならなかったので、1日に5つの小規模なネットワークをハッキングしました。でも、だんだんハッキングにかける時間が長くなってきました。
さっそく始めてみましょうか。私の渾身の開発・・・おそらく誰もが聞いたことがあるであろう、カプコン社。私はフォーティネットの脆弱性を突いて、そこにたどり着きました。実は、行ってみてちょっとびっくりしたのが、全部日本語なんです。ヒエラルキーがなく、部署分けもなく、何もかもが山積みになっている。死んだドメイン管理者を見つけたのです。それがBabukという名前の由来です。カプコンにはBabakという管理者がいた。そして、この管理者を見つけたとき、誰も使っていないけど、企業型なんだと気づきました。
出典:An interview with initial access broker Wazawaka: ‘There is no such money anywhere as there is in ransomware’