Malwarebytesは3月6日(米国時間)、「ALPHV ransomware gang fakes own death, fools no one|Malwarebytes」において、ランサムウェアグループ「ALPHV(別名:BlackCat)」が偽の摘発メッセージを残して消えたと報じた。ALPHVおよび関連組織の投稿や行動から、ALPHVが出口詐欺を行ったのではないかと推測されている。
ランサムウェアグループ「ALPHV」とは
ランサムウェアグループ「ALPHV」はランサムウェアの中でも上位に位置する危険な組織とされる。Malwarebytesが先月に発表した2024年1月の統計でも4番目の攻撃件数の多さとなっている。また、このランサムウェアグループはランサムウェア・アズ・ア・サービス(RaaS: Ransomware-as-a-Service)を提供しており、支払われた身代金の一部をインフラ使用の対価として徴収し、残りを攻撃実行組織に送金しているとされる。
ALPHVが残した偽の摘発情報
通常、このような脅威度の高いランサムウェアグループが摘発されると、法執行機関から発表が行われる。しかしながら、今回はそのような発表は確認されていない。また、ユーロポールおよび英国家犯罪対策庁(NCA: National Crime Agency)に連絡を取ったユーザーによると、これら法執行機関は関与を否定したという。
Malwarebytesはこの件について「ALPHVが関連組織の金を持ち逃げし、その痕跡を消すために偽の摘発を演出したのではないか」と述べている。ALPHVと関連組織が投稿したメッセージから推測される一連の経緯は次のとおり。
- 2024年2月21日(米国時間)、米国ヘルスケア企業「Change Healthcare」がALPHVとみられるランサムウェア攻撃を受け、深刻なシステム停止被害に遭う(参考:「Change Healthcare outages reportedly caused by ransomware | Malwarebytes」)
- 2024年3月3日(米国時間)、ダークWebフォーラムにおいてChange Healthcareへの攻撃を主張する組織が現れる。この組織の投稿によると、Change Healthcareは3月1日にALPHVへ身代金2,200万ドルを支払ったが、ALPHVは身代金を持ち逃げし、われわれのアカウントを停止したと主張
- 2024年3月4日(米国時間)、ALPHVの運営者は一連の問題の責任が米国連邦調査局(FBI: Federal Bureau of Investigation)にあると主張。その後、ALPHVのソースコードを500万ドルで売りに出す
- 2024年3月5日(米国時間)、ALPHVのダークWebサイトに米国連邦調査局(FBI)の摘発メッセージが表示される
つまり、ALPHVはランサムウェア・アズ・ア・サービス(RaaS)としてALPHVのインフラを別の犯罪組織に提供。提供を受けた組織がChange Healthcareへの攻撃に成功し、身代金がALPHVに支払われる。ALPHVはその一部を対価として徴収し、残りを犯罪組織に送金しなければならないが、契約を反故にして全額を持ち逃げしたものとみられている。
今後ALPHVがどのような行動に出るかわからないが、新しいブランドを立ち上げて復活するのではないかとも推測されている。企業や組織にはこれまで通り最新のサイバーセキュリティ情報を収集し、適切にシステムを保護することが望まれている。