ドイツ警察、GandCrab・REvilランサムウェア組織のロシア人首領の実名を公表
(krebsonsecurity.com)- ドイツ連邦刑事庁が、ロシア国籍の ダニール・マクシモヴィチ・シュチュキン を GandCrab と REvil ランサムウェア組織の首領と特定し、実名を公表
- シュチュキンは「UNKN(UNKNOWN)」というニックネームで活動し、被害者に2度金銭を要求する 二重恐喝方式 を導入した中心人物として知られる
- GandCrab は 2018 年に登場し、アフィリエイトモデル を通じて約20億ドルを脅し取った後に終了し、その後 REvil が登場して 大企業を標的 にした
- 米司法省はシュチュキン名義の 暗号資産口座の差し押さえ を要請し、ドイツ当局は彼がロシアのクラスノダールに居住している可能性が高いと発表
- REvil は 業務の外部委託と下位エコシステム を備えた産業型犯罪構造へと発展したが、2021年の Kaseya ハッキング事件 後に FBI の介入で崩壊した
ドイツ、ロシア系ランサムウェア組織 GandCrab・REvil の首領「UNKN」の実名を公表
- ドイツ連邦刑事庁(BKA) は、ロシア国籍の ダニール・マクシモヴィチ・シュチュキン(Daniil Maksimovich Shchukin) を GandCrab と REvil ランサムウェア組織の首領と特定
- シュチュキンは 2019〜2021 年の間にドイツ国内で少なくとも 130 件の コンピューター破壊および脅迫行為 を主導した疑い
- さらに別のロシア人 アナトリー・セルゲエヴィチ・クラフチュク(Anatoly Sergeevitsch Kravchuk) とともに約200万ユーロを脅し取り、総額3,500万ユーロ以上の経済的被害をもたらしたとみられる
- BKA は、シュチュキンが 「UNKN」(または UNKNOWN) というニックネームで活動し、二重恐喝(double extortion) 方式を導入した中心人物だと発表
- 被害者は復号キーを受け取るために一度、盗まれたデータを公開されないようにするためにもう一度、金銭を支払う必要があった
- GandCrab と REvil は世界的に活動した 大規模ランサムウェアネットワーク と評価されている
GandCrab と REvil の形成と進化
- GandCrab ランサムウェア は 2018 年 1 月に登場し、ハッカーが企業アカウントへの侵入だけでも収益配分を受けられる アフィリエイトモデル を運営
- 開発チームはセキュリティ企業の対策を回避するため、5回にわたり主要バージョンを配布し、機能を継続的に改善
- 2019 年 5 月、約20億ドルを脅し取った後に活動終了を宣言し、「悪事でも無事に金持ちになれる」というメッセージを残した
- GandCrab 終了直後、REvil ランサムウェア が登場
- 「UNKNOWN」というユーザーがロシアの犯罪フォーラムに100万ドルを預託して信用を確保し、これが GandCrab の再編と見なされた
- REvil は 大企業や保険加入組織 を主な標的とし、高額な身代金を要求する 「ビッグゲームハンティング」戦略 へと発展
シュチュキンの身元と国際捜査
- 米司法省は 2023 年 2 月、REvil 活動の収益が入った 暗号資産口座の差し押さえ を求め、シュチュキンの氏名を明記
- 当該ウォレットには約 31万7,000ドル相当の暗号資産 が含まれていた
- BKA は、シュチュキンが ロシア・クラスノダール 出身で、現在もそこに居住している可能性が高いと発表
- 「海外に滞在している可能性があり、旅行活動も排除できない」と明記
REvil の組織運営と産業化された犯罪構造
- Renee Dudley と Daniel Golden の著書 The Ransomware Hunting Team によれば、REvil は合法企業のように 業務の外部委託と再投資(reinvestment) を通じて効率を最大化
- 開発者は品質向上に集中し、外部業者が Web デザイン・ロジスティクス・暗号化サービス などを担当
- 「クリプター」提供者、「初期アクセスブローカー」、ビットコイン洗浄サービス など多様な下位エコシステムが形成され、犯罪産業が拡大
主要事件と没落
- 2021 年 7 月 4 日の週末、REvil は米 IT 管理企業 Kaseya をハッキングし、1,500 社あまりの顧客企業に被害を与えた
- FBI はすでに REvil のサーバーへ侵入していたが、作戦露見を避けるため即座には介入できなかったと発表
- その後 FBI が 無料の復号キー を公開し、REvil は事実上崩壊した
追加の手がかりと身元確認
- サイバーインテリジェンス企業 Intel 471 のフォーラム分析によると、シュチュキンには過去に 「Ger0in」 という名前でボットネット運用やマルウェア設置サービスを販売していた記録がある
- Ger0in は 2010〜2011 年に活動しており、UNKNOWN との直接的なつながりは確認されていない
- Pimeyes 画像比較サイト により、BKA が公開した写真と 2023 年の クラスノダールでの誕生日パーティー写真 の人物が同じ腕時計を着用していたことが一致
- 2023 年のドイツ CCC(Chaos Communication Congress) 会議でも、シュチュキンが REvil リーダーとして言及された 英語吹き替え音声 が公開された
1件のコメント
Hacker Newsの意見
数年前にすでにCCC所属のハッカーたちがこの人物のうち1人の身元を突き止めていたという話を聞いたことがある
アップデートで言及されているように、CCCの発表動画でも扱われていた
捜査機関がこれを独自に突き止めたのか、それともすでに防御に参加していたハッカーたちに協力を求めたのか気になる
特にBNDがドイツ市民を監視した事件以降はなおさらで、歴史的にも対立があった
そのため、ハッカーがBNDと協力すると仲間のハッカーたちの間で信頼を失うリスクがある
彼らも公式に連絡を受けたことはないという
Spiegelが最近、この事件に関する動画リポートを公開していた
誰かを「最重要指名手配者リスト」に載せることがドキシング(doxing)に当たるのかという疑問がある
公式説明では「Daniil Maksimovich Shchukinは企業と公共機関に対するランサムウェア恐喝の容疑で国際指名手配中」とされている
ここでは『accuse』や『unmask』のほうがより正確な表現だと思う
「匿名の脅迫者の名前を公開した」ことがなぜドキシングなのか分からない
記事に住所や家族情報、連絡先が含まれているわけでもなく、ただ「逮捕対象者」を明らかにしただけだ
問題は、こうした公開によって周囲の人々が彼を犯罪者や裕福な隣人として認識し、窃盗や脅迫の試みが生じうる点にある
実際に、ドキシングされたサイバー犯罪者を脅迫しようとして情報機関を装った**事例まであった
人々は『ドキシング』という単語の意味にこだわりすぎているように思う
匿名ハッキングコミュニティでは、誰かの**OPSEC(運用上のセキュリティ)**を暴く行為そのものがドキシングと見なされる
一部では『完全開示』方式で、あらゆるOPSECの失敗を即座に公開する
そうしないと、誰かがその情報をため込んで後で脅迫に使うことが起きうるからだ
『doxxes』のほうが正しい綴りだと思う。『doxes』だと発音上『ドクシーズ』のように聞こえて不自然だ
数十年前なら、こういう見出し自体が難解な言葉遊びのように聞こえただろう
いつから公式の指名手配者リストに載せることがドキシングになったのか分からない
情報を下ろしてほしいなら法廷に出廷すればいいだけだ