地下のサイバー犯罪者にとって激動の時代になりつつある中、ALPHV/BlackCat ランサムウェアのチームは、グループの首謀者が最近組織した関連会社から数百万ドルを盗んだとの疑惑のさなか、明らかに自主的な削除でサーバー インフラストラクチャを停止しました。アメリカの医療サービス提供者を攻撃した。
この削除は当初、法執行機関による組織的な削除の結果であるように見えたが、 ロイター、最近のロックビット作戦の取り締まりであるクロノス作戦を主導した国家犯罪庁(NCA)は、法執行措置は何も行われていない。
3月3日日曜日、主要な地下フォーラムの1つに片言の英語で投稿された声明の出現により、事態はさらに濁った。 ALPHV/BlackCat の関連会社と思われる人物によるもの。
投稿者は、ALPHV/BlackCat と長年協力しており、3 月 1 日にミネソタ州ミネアポリスに拠点を置く、ランサムウェア被害を受けた Change Healthcare の親会社 United Health Group から 2,200 万ドルの身代金の支払いを受け取ったと主張しました。
しかし、ALPHV/BlackCat チームは、支払いを受け取った後、「Tox の ALPHV 管理者に連絡した際に、アカウントを停止し、嘘をつき、遅らせ続けることを決定した」と述べています。
彼らはさらにこう付け加えた。「彼は、(原文のまま)主任管理者とプログラマーを待っていると言い続け、今日彼らは財布を空にしてお金をすべて持ち出しました…。 皆さん気をつけて、ALPHVとの取引をやめてください。」
「これはすべて憶測であることを強調しておくことが重要です」とセンペリスのセキュリティ調査ディレクター、ヨッシ・ラックマン氏は述べた。 「ALPHV はそれによってビジネスを失う可能性があるため、それが少し奇妙に見えることに同意します。 繰り返しになりますが、これは実店舗のビジネスではないため、資金を盗んで経営することに決めたとしても、別の名前で新しいビジネスを簡単に設立することができます。
「全体として、ALPHV、その関連会社、チェンジ・ヘルスケアの内輪以外の誰も、誰が支払ったのか、誰が支払わなかったのかについての情報を知りません。 サイバー セキュリティ業界では、泥棒に名誉はないということをご存知でしょう。 ですから、私にとって何も驚くべきことはありません。」
WithSecure の上級脅威インテリジェンス アナリストである Stephen Robinson 氏も、何でも額面どおりに受け取るという Rachman 氏の意見に同調しました。 「サイバー犯罪者の発言は本質的に信頼できません。 アルファフ オフラインになったようですが、理由はわかりません」と彼は言いました。
「アフィリエイトの支払いに関する主張は興味深いものですが、同様に信頼できません。 RaaS の運用が機能するには、関連会社とコア グループが相互に信頼する必要があるため、関連会社からの支払いを「盗む」ことや支払いを保留することは非常にまれです。 しかし、サイバー犯罪者は多くの場合、法執行機関の目につかないように努め、現実世界に影響を及ぼし、国際法執行機関からの注目を集めるような攻撃を避けるよう努めます。」
「その可能性はある」 アルファフ 法執行機関の注意を避けるために、別の名前でブランドを変更しようとしているが、それは単なる憶測にすぎない。」
これは、2021年にコロニアル・パイプラインを攻撃したダークサイド作戦におけるALPHV/BlackCatのルーツ(同様にほとんどの部分が推測的)を物語っているだろう。
この攻撃は現実世界への影響と米国全域にわたる燃料供給の混乱を引き起こし、ランサムウェアの問題が世界の主流の注目を集めるようになり、西側の政策に大きな変化をもたらしました。
また、ギャングに対する組織的な法執行活動も行われ、コロニアル・パイプラインが支払った身代金のかなりの部分が回収されました。
被害者には何の救済もない
Change Healthcare(チェンジ・ヘルスケアの親会社は身代金を支払ったかどうかを確認していない)が支払ったとされる支払いをギャングが差し押さえたとされることは、苦渋の決断に直面している、あるいは今も直面している組織にとってはほとんど救いにはならないだろう。
「MGMのようなエンターテインメント会社が、ダウンタイムによって組織の収益が損なわれているにもかかわらず、身代金の要求を拒否するのはリスク選好の範囲内かもしれないが、身代金を支払わないという決定は、おそらく誰かの命を危険にさらすことにはならないだろう」と、共同経営者のジョン・ミラー氏は述べた。 -ランサムウェア対策プラットフォーム Halcyon の創設者兼 CEO。
「しかし、遅延が人命に危険をもたらす可能性があるため、システムへのアクセスを緊急に必要とするChange Healthのような医療提供者はどうなるでしょうか? このような場合、身代金要求を支払うかどうかの決定は非常に複雑になります。」
ランサムウェアの要求に対する支払いを違法とすべきか否かについての新たな議論について、ミラー氏はこの問題の両面を認め、迅速に支払うことが、場合によっては多少のリスクはあるものの、業務を回復する最も早い方法になる可能性があると述べた。そうすることで、将来的にはさらなる攻撃が促進されることは明らかです。
米国の民間制度であろうと英国のNHSであろうと、医療機関にとっては、選択はさらに厳しいものとなる。
「医療システムに対するランサムウェア攻撃は、組織の患者ケア能力にますます影響を及ぼしており、一部の研究ではランサムウェア攻撃と患者死亡率の増加との間に直接的な関連があることがすでに判明している」とミラー氏は述べた。
「ある調査によると、68% がランサムウェア攻撃により患者ケアに混乱が生じたと述べ、43% が攻撃中のデータ漏洩も患者ケアに悪影響を及ぼしたと述べ、46% が死亡率の増加を指摘し、38% がランサムウェア攻撃後の医療処置の合併症の増加を指摘した」攻撃だ」と彼は付け加えた。
しかし、身代金の支払い禁止をめぐる議論は、問題の根本原因、つまりそもそも被害者のITシステムの脆弱性にはあまり触れていない、と同氏は付け加えた。
「こうした攻撃の成功を阻止できれば、身代金の支払いに関する議論は無意味になるだろう」と同氏は述べた。