ランサムウェアグループBlackMatterメンバーへのインタビュー
2021年11月、RussianOSINTのWebサイトでランサムウェアグループBlackMatterメンバーに対するインタビューを含む記事が公開されました。ロシア語の当該記事を、弊社にて和訳した内容をご紹介いたします。
当記事のインタビュー部分は、RussianOSINTの記事を承諾を得て翻訳・要約したものです。弊社は該当のサイト運営者とは無関係であり、また、その内容の正確性及び安全性を保証するものではありません。よって掲載されている情報に起因して被った損害、損失に対して弊社は名目の如何を問わず一切の責任を負いません。
参照:https://telegra.ph/Tekstovoe-intervyu-s-BlackMatter-Vsem-zhelaem-mira-i-dobra-bez-nas-ehtot-mir-stanet-luchshe-11-04
なお、この記事でご紹介しているのはRussianOSINTによるBlackMatterへのインタビューの日本語訳ですが、テリロジーワークスも独自にBlackMatterへのインタビューを行いました。その内容と分析結果をまとめたレポートは、以下の記事で公開しております。併せてご覧ください。
目次
RussianOSINTとは
RussianOSINTはロシア人のセキュリティリサーチャーが運営するYouTubeチャンネルで、昨年2020年10月には当時猛威を振るっていたランサムウェアグループREvilのメンバーに対するインタビュー動画を公開し、注目を集めました。続けて彼らはランサムウェアグループLockBitメンバーへのインタビュー動画も公開しています。
REvil、LockBitへのインタビュー動画は以下の記事で弊社が和訳しています。
弊社も独自にREvil、LockBitメンバーへのインタビューに成功し、分析結果をレポートとして公開しています。
BlackMatterランサムウェアとは
BlackMatterは2021年7月下旬に初めて姿を現したランサムウェアグループです。 他のランサムウェアグループと同様に、BlackMatterはRaaSアフィリエイトプログラムを運営しており、企業ネットワークへのアクセス権を購入し、利益を分配する形でネットワークアクセスブローカーと協力します。BlackMatterが収益の大きい大規模企業に関心を示したため、このランサムウェアグループは世界中のスレットインテリジェンスの専門家の関心を呼びました。BlackMatterが用いるソフトウェアやインフラのサンプルを詳細に分析した結果、BlackMatterは消息を絶ったDarkSideのリブランドであると仮定する研究者もいました。
しかし、BlackMatterは本年11月1日にプロジェクトの閉鎖を突然発表しました。活動の停止を宣言したとはいえ、その活動を分析することは有意義です。なぜならば、大多数のRaaSは攻撃に際して共通した技術や方法を用いるからです。従って、その理解はBlackMatterのみならずその他のランサムウェアへの対策にも有用となります。
詳細はぜひ、テリロジーワークスによる分析レポートをダウンロードしてください。
RussianOSINTによるBlackMatterメンバーへのインタビュー和訳(要約)
問1 BlackMatterとDarkSideの間に何か繋がりはあるのか?西側諸国の情報セキュリティ専門家の間では、あなた方の名前はDarkSideのリブランドに他ならないという意見もある。結局のところ、あなた方は何者なのか?
―――BlackMatterのプロジェクトの背後には様々な人物がいたが、唯一、DarkSideの閉鎖前にそのソースコードを購入したということがそれらの人々を結び付けていた。管理者パネル及びWindowsのソースコードは購入したが、ソースコードの販売に関する合意に到達していなかったため、Linuxについてはゼロから開発せざるを得なかった。
問2 アフィリエイトプログラムの評判は、マスコミが攻撃について言及した数、企業ブランド名、身代金の金額に大きく左右されるかもしれない。専門家でもなければ、AvaddonとConti、REvilとMaze、LockBitとBabukをそれぞれ区別することは難しい。それならば、ランサムウェア間の基本的な違いは何か?広報活動や技術的特徴に違いがあるのか?
―――我々は、マーケティング、ポジショニング、技術的特徴が重要な役割を果たしていると考える。一般的に、ランサムウェアオペレータに大した違いはない。
問3 BlackMatterは何故REvil、DarkSide、LockBitを参考にした一方で、Avaddon、Conti、Maze、Babukやその他のランサムウェアオペレータを参考にしなかったのか?
―――最初の2つのランサムウェアオペレータ(注:REvilとDarkSide)は、彼らの市場におけるポジショニング戦略と革新的なソリューションによって選ばれた。Lockbitは、彼らの唯一悪くない点であるWindowsのコードベースによって選ばれた。残りのランサムウェアオペレータを選ばなかったのは、彼らの開発レベルが稚拙だったから或いはアフィリエイトプログラムの始動の時点で市場にまだ存在していなかったからである。
問4 なぜ捜査の対象になっているランサムウェアオペレータ自身が、その足取りを追う立場にいるブロガー、大手メディアの記者、さらにはスレットインテリジェンス企業に所属するサイバーセキュリティの専門家とのインタビューに応じるのか?メディアに取り上げられることを恐れる者もいる中で、自分達のことを知られることを厭わない者もいるのは何故か?
―――インタビューが我々のプライバシーを侵害しない形式で行われたからだ。また、我々もこのビジネスから手を引いており、インタビュー内容が公開される時には全ての証拠は既に隠滅されている。
問5 ランサムウェアグループは、記者、ブロガー、サイバーセキュリティ専門家とのインタビューを行う際に、彼らが特務機関と協力関係にあるかどうかを確認するか?
―――彼らが我々の個人情報を特定できないのと同様に、我々も協力関係を確認することはできない。この世は舞台だ。
問6 あなた方は最初の公開インタビューとして、元ハッカーで現在はRecorded Future社に勤務しているDmitry Smilyanets氏のインタビューに応じた。同社は元々、Google社及びCIAと近しい関係にあるベンチャー企業In-Q-Tel社によってスタートアップ企業として設立されたことは良く知られている。西側諸国の複数のメディアによると、CIS諸国出身とされるランサムウェアグループが、米国諜報機関のアナリストによって意図的に用意された質問に答えることで、行動分析に基づいた分析を容易にしていることになる。ランサムウェアオペレータの立場からすると、この報道は甚だ狂気じみているが、実際、インタビューにはどういう意味があったのか?
―――当時、Blackmatterには、潜在的なクライアントからの関心を引くために、大きな反響を呼ぶインタビューが必要だった。特務機関が新しいRaaSを知ることになるという点は大して重要ではなく、想定していたことだった。
問7 模倣(mimicry)とは何か?コードのカモフラージュや特定のコードの追加以外には何があるか?
―――技術的観点から言えば、それは特定のグループによって使用されるソフトウェアの修正のように見える。ソフトウェアはvirustotalやmalwarebazar等でインストールが可能であり、その後、コマンドサーバーのシミュレーションを行い、ビルド環境においてデータの上書きをする。
問8 Smilyanets氏とのインタビューで、あなたはDarkSideのことを知っており、コミュニケーションを取ったことがあると述べた。あなたの意見としては、コロニアルパイプラインに対する真正面からの攻撃は偶発的なもので、これほど強い圧力と社会からの反応を想定したものではなかったと考えるか。或いは、やはり、これら全ての結果を見越した上で意図的に組織された攻撃なのか?これに関してどのようにコメントできるか?
――― 彼らの目標はお金を儲けることであり、地政学的な争いに参加することではなかった。
問9 最近、Babukのソースコードがネット上にリークされたことや、Conti RaaSの参加者の中で不満を抱いていた者がネットにContiの研修資料と呼ばれるものを公開した件が世間を騒がせている。こうした事件は他のランサムウェアグループにどのような影響を与えるか?
―――影響はない。Babukのソースコードの質は低い。中には、それを使用する人もいるかもしれない。
問10 コロニアルパイプライン事件の後、社会からの圧力や注目の高まりを受けて、ランサムウェアグループの活動はより一層危険で難しくなっている。このことを考えると、重要インフラへの攻撃件数は減少すると考えるか?
―――コロニアルパイプライン事件によって、全てのRaaSプログラムが閉鎖していくという不可逆的なプロセスが始まった。ランサムウェアグループのマネジメント層は状況に適応し続け、あらゆるリスクを理解しているが、世界中の金を手に入れることは不可能だ。
問11 通常、RaaSがフロントマン、交渉人、広報課としての活動を同時に行う一方で、主要な業務はアフィリエイトが行っている。RaaSの成功はどれほどアフィリエイトの手にかかっていると考えるか?
―――まず、全てのRaaSはアフィリエイトによって支えられている。結局のところ、アフィリエイトは舞台裏にいて、大きな打撃を受けて注目を浴びるのはRaaSである。RaaSは、その分の報酬を得ている。
問12 巧妙に競合相手を模倣して患者のいる病院に攻撃を仕掛けるなど、非友好的なアフィリエイトプログラムが互いに真似しあうことは理論上可能か?そうすることによって、病院に攻撃することを禁じると宣言したアフィリエイトプログラムは釈明をするか、或いはプロジェクトを閉鎖することを余儀なくされることになる。
―――そのようなことは可能だが、我々はこれまでにそのような事例を見たことはない。
問13 潜在的な標的から重要インフラを除外した場合、ランサムウェアグループの収入のうち何%が失われるのか?
―――BlackMatterが攻撃を承認しなかったのは、多く見積もって20%の企業だ。
問14 これまで以上に農業がランサムウェアの攻撃を受けている。例えば、土壌灌漑管理システムがアフィリエイトプログラムの被害を受けたり、施肥表がアクセスできなくなれば、企業は操業停止になる。それらは、地域のフードサプライチェーンに影響を及ぼすことになるだろう。農業企業は重要インフラという用語に該当すると考えるか?
―――該当しない。我々の言葉は、以前我々が書き示したものと異なっていない。NEW Cooperative社の事例を取り上げるならば、同様の企業は米国に何百とあるし、また一時的な業務停止によってフードサプライチェーン全体が乱されたとは言えない。製油所や水処理施設などは、実際に重要な施設である。BlackMatterがこれらの企業を攻撃したことは一度もない。
問15 LockBitとのインタビューで、最良なアンチウイルスソフトの1つにBitDefenderが挙げられていた。企業をランサムウェアから守る上でどのようなアンチウイルスソフトが役に立つと考えるか?
―――Carbon Black、Cylance、Bit9といったアンチウイルスソフトをインストールすることを勧める。いずれかのアンチウイルスソフトがインストールされていれば、即座に、その企業は扱いにくく、他の企業を見つけた方が楽だという結論が出される。BitDefenderが有益ではなく、LockBitが何も理解していないということは事実だ。
問16 ワームの形をしたAndroidランサムウェアというのは神話か、それとも現実か?
―――現実なのかもしれないが、収益性が高いとは考えにくいので、我々には分からない。我々が常に興味を持っているのはコーポレートネットワークだ。
問17 ランサムウェアの脅威がない穏やかな週末がセキュリティ専門家に訪れることはあるのか?
―――既に比較的穏やかになっている。我々がプロジェクトを閉鎖すれば、LockBitのような専門性の低いいくつかのランサムウェアグループが残るだけだろう。しかし、これは、最近の地政学的イベント(米露間の情報のやり取り)を背景とした一時的な現象に過ぎない。
問18 お金とプロセスどちらが重要か?
―――プロセスとお金、それに自由が重要だ。
問19 過程と結果どちらが重要か?
―――過程が重要であり、結果はその次だ。全てのことには終わりがある。
問20 なぜプロジェクトを閉鎖したのか?
―――閉鎖は、ランサムウェアにまもなく終止符を打つことになる多くのネガティブな要因と関係している。私たちは、檻の窓を20年間楽しむことよりも、早めに自らの足で身を引くことを好む。そのため、すべての人々に対して平和と幸福を願う。我々がいなければ世界はより良くなるだろう:)そして米国に挨拶を送る。時折、計画が実現しないことや、全てのことが米国国民の都合通りに進まないこともあるが、それに慣れることには価値がある。
ランサムウェアグループメンバーへのコンタクト方法
RussianOSINTがどのようにランサムウェアグループのメンバーにコンタクトを取ったのか、また、何故セキュリティリサーチャーとして活動を行っているのか、REvilへのインタビュー動画公開後にテリロジーワークスが運営者にインタビューした記事は以下をご覧ください。
組織がランサムウェア攻撃の被害に遭うリスクを低減するには
BitSightの調査によると、一部の組織はランサムウェアの被害者になる可能性が8倍以上もあるということです。
調査結果が示唆する内容から、次々と新しいグループ、新しい手法が生み出されるランサムウェア攻撃に対して行うべき対策について分析しています。
