ランサムウェア組織「ALPHV」が突然消滅、関連組織の身代金持ち逃げか
マイナビニュース2024年3月8日(金)12時42分
Malwarebytesは3月6日(米国時間)、「ALPHV ransomware gang fakes own death, fools no one|Malwarebytes」において、ランサムウェアグループ「ALPHV(別名:BlackCat)」が偽の摘発メッセージを残して消えたと報じた。ALPHVおよび関連組織の投稿や行動から、ALPHVが出口詐欺を行ったのではないかと推測されている。
○ランサムウェアグループ「ALPHV」とは
ランサムウェアグループ「ALPHV」はランサムウェアの中でも上位に位置する危険な組織とされる。Malwarebytesが先月に発表した2024年1月の統計でも4番目の攻撃件数の多さとなっている。また、このランサムウェアグループはランサムウェア・アズ・ア・サービス(RaaS: Ransomware-as-a-Service)を提供しており、支払われた身代金の一部をインフラ使用の対価として徴収し、残りを攻撃実行組織に送金しているとされる。
○ALPHVが残した偽の摘発情報
通常、このような脅威度の高いランサムウェアグループが摘発されると、法執行機関から発表が行われる。しかしながら、今回はそのような発表は確認されていない。また、ユーロポールおよび英国家犯罪対策庁(NCA: National Crime Agency)に連絡を取ったユーザーによると、これら法執行機関は関与を否定したという。
Malwarebytesはこの件について「ALPHVが関連組織の金を持ち逃げし、その痕跡を消すために偽の摘発を演出したのではないか」と述べている。ALPHVと関連組織が投稿したメッセージから推測される一連の経緯は次のとおり。
2024年2月21日(米国時間)、米国ヘルスケア企業「Change Healthcare」がALPHVとみられるランサムウェア攻撃を受け、深刻なシステム停止被害に遭う(参考:「Change Healthcare outages reportedly caused by ransomware | Malwarebytes」)
2024年3月3日(米国時間)、ダークWebフォーラムにおいてChange Healthcareへの攻撃を主張する組織が現れる。この組織の投稿によると、Change Healthcareは3月1日にALPHVへ身代金2,200万ドルを支払ったが、ALPHVは身代金を持ち逃げし、われわれのアカウントを停止したと主張
2024年3月4日(米国時間)、ALPHVの運営者は一連の問題の責任が米国連邦調査局(FBI: Federal Bureau of Investigation)にあると主張。その後、ALPHVのソースコードを500万ドルで売りに出す
2024年3月5日(米国時間)、ALPHVのダークWebサイトに米国連邦調査局(FBI)の摘発メッセージが表示される
つまり、ALPHVはランサムウェア・アズ・ア・サービス(RaaS)としてALPHVのインフラを別の犯罪組織に提供。提供を受けた組織がChange Healthcareへの攻撃に成功し、身代金がALPHVに支払われる。ALPHVはその一部を対価として徴収し、残りを犯罪組織に送金しなければならないが、契約を反故にして全額を持ち逃げしたものとみられている。
今後ALPHVがどのような行動に出るかわからないが、新しいブランドを立ち上げて復活するのではないかとも推測されている。企業や組織にはこれまで通り最新のサイバーセキュリティ情報を収集し、適切にシステムを保護することが望まれている。
○ランサムウェアグループ「ALPHV」とは
ランサムウェアグループ「ALPHV」はランサムウェアの中でも上位に位置する危険な組織とされる。Malwarebytesが先月に発表した2024年1月の統計でも4番目の攻撃件数の多さとなっている。また、このランサムウェアグループはランサムウェア・アズ・ア・サービス(RaaS: Ransomware-as-a-Service)を提供しており、支払われた身代金の一部をインフラ使用の対価として徴収し、残りを攻撃実行組織に送金しているとされる。
○ALPHVが残した偽の摘発情報
通常、このような脅威度の高いランサムウェアグループが摘発されると、法執行機関から発表が行われる。しかしながら、今回はそのような発表は確認されていない。また、ユーロポールおよび英国家犯罪対策庁(NCA: National Crime Agency)に連絡を取ったユーザーによると、これら法執行機関は関与を否定したという。
Malwarebytesはこの件について「ALPHVが関連組織の金を持ち逃げし、その痕跡を消すために偽の摘発を演出したのではないか」と述べている。ALPHVと関連組織が投稿したメッセージから推測される一連の経緯は次のとおり。
2024年2月21日(米国時間)、米国ヘルスケア企業「Change Healthcare」がALPHVとみられるランサムウェア攻撃を受け、深刻なシステム停止被害に遭う(参考:「Change Healthcare outages reportedly caused by ransomware | Malwarebytes」)
2024年3月3日(米国時間)、ダークWebフォーラムにおいてChange Healthcareへの攻撃を主張する組織が現れる。この組織の投稿によると、Change Healthcareは3月1日にALPHVへ身代金2,200万ドルを支払ったが、ALPHVは身代金を持ち逃げし、われわれのアカウントを停止したと主張
2024年3月4日(米国時間)、ALPHVの運営者は一連の問題の責任が米国連邦調査局(FBI: Federal Bureau of Investigation)にあると主張。その後、ALPHVのソースコードを500万ドルで売りに出す
2024年3月5日(米国時間)、ALPHVのダークWebサイトに米国連邦調査局(FBI)の摘発メッセージが表示される
つまり、ALPHVはランサムウェア・アズ・ア・サービス(RaaS)としてALPHVのインフラを別の犯罪組織に提供。提供を受けた組織がChange Healthcareへの攻撃に成功し、身代金がALPHVに支払われる。ALPHVはその一部を対価として徴収し、残りを犯罪組織に送金しなければならないが、契約を反故にして全額を持ち逃げしたものとみられている。
今後ALPHVがどのような行動に出るかわからないが、新しいブランドを立ち上げて復活するのではないかとも推測されている。企業や組織にはこれまで通り最新のサイバーセキュリティ情報を収集し、適切にシステムを保護することが望まれている。
「PHV」をもっと詳しく
「PHV」のニュース
-
EV・PHVユーザーに最大11,000円還元4月1日15時16分
-
ランサムウェア組織「ALPHV」が突然消滅、関連組織の身代金持ち逃げか3月8日12時42分
-
四日市のカローラ三重/ネッツノヴェル三重でapr GR86 GTのお披露目会開催。高い注目集める3月7日18時10分
-
aprの30号車プリウスPHV GTはスーパーGT第8戦富士がラストレース。2021年は「新型車両」に12月2日23時49分
-
【GT300マシンフォーカス】“取り残された長男”を救った滑空テストと専用ブレーキ。プリウスPHV、FR化3年目の熟成11月20日11時42分
-
スーパーGT第6戦オートポリスのZFアワードはポール・トゥ・ウインの31号車aprが受賞10月30日13時46分
-
プリウスPHVで初優勝の嵯峨宏紀「今は『ありがとう』という言葉しかない」【第6戦GT300決勝会見】10月24日18時59分
-
プリウスPHV GTがライバルを圧倒。10秒差を築くポール・トゥ・ウインで今季初優勝【第6戦GT300決勝レポート】10月24日18時53分
-
【タイム結果】2021スーパーGT第6戦オートポリス ウォームアップ10月24日12時37分
-
歯痒い思いをしていた嵯峨宏紀「31号車が本来いるべき位置に戻ってきた」【第6戦GT300予選会見】10月23日18時56分
ITニュースランキング
-
1デルで情報漏えいか 海外では4900万件流出との報道も 【ユーザーに届いたメール全文掲載】 ITmedia NEWS
-
2太陽フレア、3日間で5回の“Xクラス” NICT「早ければ10日午後6時ごろから影響」 ITmedia NEWS
-
3ソフトバンク版iPad Pro(M4)/iPad Air(M2)の価格が決定、新トクするサポート(プレミアム)にも対応 マイナビニュース
-
4「楽天カード」ポイント付与率一部引き下げ 楽天以外の携帯料金や保険料など ITmedia NEWS
-
5イオンモバイルが異例の“200GBプラン”を提供する狙い 金融連携サービスも強化で大手キャリアに対抗しうる存在に ITmedia Mobile