ウィザード・スパイダー

出典: フリー百科事典『ウィキペディア(Wikipedia)』

ウィザード・スパイダー (Wizard Spider) は、ロシアサンクトペテルブルクとその周辺、およびウクライナに拠点を置くサイバー犯罪グループ[1][2]、あるいはAPTである[3]。 メンバー数は約80人と推定されており、中には犯罪組織に雇用されていることを知らない者もいる[1][4]。 感染したシステムやネットワークにセカンドステージのマルウェアを送り込むためのボットネット「Trickbot」を運営しており[5]、別名TrickBotギャングとも呼ばれる[6]

概要[編集]

このグループは、ユーロポールインターポールFBI、およびイギリス国家犯罪対策庁からマークされ続けている[1]。 諜報機関によると、同グループはロシア圏の企業や組織はターゲットから除外しており、彼らの作成するウィルスは対象のシステムがロシア語の場合か、NIS諸国(旧ソビエト連邦圏)のIPアドレスの場合は、自動的に自分自身をアンインストールするようプログラムされている[2]

またグループの主要人物も逮捕されることを恐れてロシア国外に出国することはないという[1][2]。以上のような理由により、ロシアはウィザード・スパイダーを容認しており、さらには彼らを国家的に支援している疑いが持たれている[2]

サイバーセキュリティ企業レコーデッド・フューチャー英語版の情報分析官は「彼らは、信じられないほど多くの攻撃を仕掛けています」と語る。同グループによる攻撃は少なくとも2年間で数百もの被害者が確認されている[7]。 さらに「彼らのインフラは非常に優れています。マイクロソフト米国サイバー軍が破壊を試みても、活動が続いていることからもそれが分かります。正直なところ、彼らは多くの国家の関係機関よりも豊富な資金があり、技術に習熟しています」とその技術力の高さを認めている[7]

同グループは警戒心が非常に強く、他のランサムウェアグループと違いダークネット上で公然と宣伝したりはしない[1]。信頼できる犯罪者とだけ協力したり、アクセス権を販売するだけである[1]

ハッキングで盗み出した情報を公開するリークサイトを運用しており[2]、ここを介して被害者を侮蔑することも広く知られている[1]

2021年6月、アメリカ合衆国司法省((DOJ) は、TrickBotギャングに2018年後半に加入し「Max」というハンドルネームでランサムウェア開発に関与していた55歳のラトビア人女性(2020年8月に提出された起訴状ではロシア国籍とされていた)を逮捕した[8]。この人物はDiavolとフロントエンド/バックエンドプロジェクトの開発を担当したとされる[6]。容疑者はブラジルの北にあるスリナム共和国在住だったが、用事でアメリカフロリダ州に到着したタイミングで逮捕された[9]。捜査陣はウィザードスパイダーの糸口を掴むため、ロシアとベラルーシの求人サイトを巡回し、犯罪グループと職を求めるプログラマー達が接触するのをチェックしていたという[9]

開発したとされるソフトウェア[編集]

Dyre[編集]

2014年に被害者の銀行口座からお金とログイン情報を収集するために使用されたバンカートロイの木馬[10]。 主要人物がオンライン攻撃に関与した疑いが持たれている[1]

Trickbot[編集]

2016年10月に主要ツールとして使用し始めたバンキング型トロイの木馬[1]。その名の通り、ボットやゾンビコンピュータとしても機能する[8]

Anchor[編集]

TrickBotのモジュール[11][6]

Ryuk[編集]

2018年夏に初めて確認されたランサムウェア。RyukやContiで奪った身代金のビットコインを自分達のウォレットに転送しており、同グループが複数の異なるマルウェアを使用して攻撃を実行しているとみられている[2]

BazarLoader[編集]

2020年4月に展開し始めたステルス性の高いバックドア。ランサムウェアのペイロードを展開する前に、企業ネットワークを侵害してフルアクセスできるようにするためのツール[5]

Conti[編集]

2020年5月に初めて確認されたランサムウェア。

Sidoh[編集]

情報を収集するだけで身代金は要求しないスパイウェア[2][12]

Diavol[編集]

2021年6月に初めて確認されたランサムウェア。ルーマニア語悪魔を意味する[6]Fortinetによるとlocker.exeという名前のContiのペイロードがさらに発見されたこと、ログファイル、ローカルドライブやネットワーク共有の暗号化、ネットワーク共有の特定ホストのスキャンなどに使用されるコマンドラインのパラメータがほぼ同じであることなどから、脅威アクターの主体がWizard Spiderである可能性が強いと分析している[13]

しかし、対象がロシアだった場合にペイロードが実行されないようにするためのチェック&バランスがないことなど、これまでのWizard Spiderのウィルスとは大きな違いがいくつかあるため、直接的な繋がりがあるかどうかはまだ不明としている[13]

2021年7月、IBM X-ForceがDiavolとAnchorやTrickBotといったウィザード・スパイダー製の他のマルウェアとの間のより強い関連性を発見[6]

2022年1月20日、FBIはDiavolランサムウェアの運営がウィザード・スパイダー(TrickBotグループ)だったと断定した[6]

BazarBackdoor[編集]

マルウェア。システムデータを流出させる能力を有しており、TrickbotやRyukとの関連性が指摘されている[14][6]

関与が疑われている攻撃[編集]

アイルランドで発生したHealth Service Executiveへのサイバー攻撃英語版の背後にいる疑いが持たれている[15][1]。これは、医療機関に対する最大規模の攻撃である[2]

協力関係にあると目されるグループ[編集]

UNC1878、TEMP.MixMaster、Grim Spiderと連携しているとされる[4]

『身代金マフィア:世界初のランサムウェアカルテル』と題した報告書を著したジョン・ディマジオによると、このグループはランサム カルテルMaze カルテルとして知られている犯罪者の集団の一部だという[2]。彼らはカルテルで活動するグループの中で最大規模を誇り、いずれもランサムウェアを使用して身代金を強奪する[2][12]。他のメンバーは、TWISTED SPIDER、VIKING SPIDER、LockBitギャング、SunCryptギャング(その後引退)とされる[2][12]

脚注[編集]

[脚注の使い方]
  1. ^ a b c d e f g h i j Reynolds, Paul (2021年5月18日). “'Wizard Spider': Who are they and how do they operate?”. RTÉ News. https://www.rte.ie/news/crime/2021/0518/1222349-ransomware-crime-group/ 2021年5月18日閲覧。 
  2. ^ a b c d e f g h i j k Lally, Conor (2021年5月18日). “Wizard Spider profile: Suspected gang behind HSE attack is part of world’s first cyber-cartel”. The Irish Times. https://www.irishtimes.com/news/crime-and-law/wizard-spider-profile-suspected-gang-behind-hse-attack-is-part-of-world-s-first-cyber-cartel-1.4568806 2021年5月19日閲覧。 
  3. ^ Wizard Spider APT Hacker Group Proliferates Ransomware Attacks”. CYCLONIS (2021年5月28日). 2021年12月31日閲覧。
  4. ^ a b Mapping To Wizard Spider”. MITRE Shield. Mitre Corporation. 2021年5月18日閲覧。
  5. ^ a b Trickbot cybercrime group linked to new Diavol ransomware”. bleepingcomputer (2021年7月1日). 2022年2月26日閲覧。
  6. ^ a b ランサムウェア攻撃、コロナ禍で拡大 病院も人質に”. MIT Technology Review (2020年11月7日). 2021年12月31日閲覧。
  7. ^ a b Trickbot グループにマルウェアを提供した罪でラトビア人女性が起訴される”. sophos (2021年6月7日). 2022年2月26日閲覧。
  8. ^ a b 世界的なランサムウェア被害を引き起こしたサイバー犯罪グループ「Trickbot」に加担した疑いで自称プログラマーが逮捕”. GIGAZINE (2021年6月18日). 2022年2月26日閲覧。
  9. ^ Wizard Spider”. EnigmaSoft. 2021年12月31日閲覧。
  10. ^ 米政府、医療分野を標的としたランサムウェアに注意喚起 - DNSで通信して検知回避”. Security NEXT (2020年11月2日). 2022年2月26日閲覧。
  11. ^ a b c DiMaggio. “Ransom Mafia - Analysis of the World's First Ransomware Cartel”. Analyst1. Analyst1. 2021年5月19日閲覧。
  12. ^ a b Diavol - Wizard Spiderが使用する新しいランサムウェア?”. Fortinet (2021年7月14日). 2021年12月31日閲覧。
  13. ^ 「BazarBackdoor」マルウェア、Windows 10のアプリインストール機能を悪用”. ZDNet (2021年11月12日). 2022年2月26日閲覧。
  14. ^ Molony, Seanan; Weckler, Adrian (2021年5月17日). “Cyber experts hunt hidden hacking in all Government departments as Russian hackers target Health”. Irish Independent. https://www.independent.ie/irish-news/cyber-experts-hunt-hidden-hacking-in-all-government-departments-as-russian-hackers-target-health-40432422.html 2021年5月18日閲覧。