ロシアの最高法執行機関による非常に一般的な行動への突然の動き REvilランサムウェア操作の削除 外交がビッグゲームのランサムウェア攻撃を遅らせる鍵をどのように保持するかについて、口を閉ざしました。
おとり捜査に続いて、「米国の要請により」行われたという慎重に作成された発表が、より大規模なものの真っ只中にあります。 ロシアとウクライナの地政学的紛争 すでにリンクされています データ消去マルウェア攻撃 対象となるWebサイトの改ざん。
米国政府は、ロシアが複数の有名なランサムウェア攻撃を無視したことを公に非難しました。 ガスパイプラインの破損 および 食品および飲料事業の混乱 ホワイトハウスは昨年、ロシアのランサムウェア資産移転活動に関するデータを共有した後、「フォローアップ活動」を主張しました。
現在、ロシア人は非常に慎重な方法で孤独なフォローアップ行動を合図しているように見えます。この動きは、軍事紛争と経済制裁を取り巻くより大きな外交交渉に結びついていることは間違いありません。
ランサムウェアのエコシステムが今年の残りの期間をどのように揺るがすかを理解するために送信されるXNUMXつの主要なシグナルを綿密に調べる価値があります。
1.ランサムウェアは、外交によって(部分的に)解決できます。
この作戦についてのすべては、仕事で.gov外交を叫びます。 ロシア人はショーをしました、 RAIDビデオの投稿 慎重に調整された 発表 取り締まりはアメリカ人への贈り物だったと。
FSBのプレスリリースは、それが米国からの要求への応答であることを非常に明確にしました。これは、サイバーセキュリティ問題に協力するために法執行機関のリーチを使用することをいとわないという明白なシグナルです。
多くの人が懐疑的なままですが(後でREvilの削除の選択について詳しく説明します)、これは、自発的な政府が主要なサイバー犯罪活動、特に地政学的および国家安全保障に影響を与える活動を効果的に阻止できることの確認です。 政治家による数回の会議は、突然の法執行指令と最終的なサイバー犯罪者のひざまずきにつながる可能性があります。
これは、グローバルな法執行イニシアチブが、企業ネットワークからランサムウェアを盗み出すのに苦労しているネットワーク防御者に快適さを提供できることを示しています。
[お客様の声は: SecurityWeek Cyber Insights 2022:ランサムウェア ]
2. REvilはぶら下がっている果物でした:
ロシア人がこの作戦の標的としてREvilを選んだのは興味深いことです。 真実は、REvilのマルウェア操作は、西側の米国政府と法執行機関の同盟国によってすでに侵害されているということです。
As 去年のXNUMX月に書いた、米国主導の法執行機関のハッキング作戦により、Torサーバーが押収され、ギャングが非難された後、REvilが事実上機能不全に陥りました。 植民地時代のパイプラインハック と Kaseyaサプライチェーンの妥協.
REvilはすでに混乱しており、その運営者は米国当局に知られているため、ロシアの交渉担当者は、アメリカ人がより大きな取引を行う意思がある場合、他のより大きな魚に協力する可能性があることを公に合図するのは非常に簡単でした。
私は、国民国家のマルウェア追跡スペースの奥深くにいる誰かに彼の意見を聞いたところ、彼の回答は完全に理にかなっています。 信号がすべての人に正しく理解されていることも重要です。 あなたは私たちにランサムウェアについて何かをするように頼みました、そして私たちはしました。 今、あなたは私たちのために何をしますか?」
[ お客様の声は: 法執行機関のハックバック作戦に襲われたREvilランサムウェアギャング ]
3.犯罪組織に恐怖を駆り立てる:
この削除の大きな副作用は抑止力になります。 サイバー犯罪法がロシアの犠牲者を要求しているために逮捕された人々は、より軽いマネーロンダリングの罪に直面しているという容疑にかかわらず、特にXNUMX月にロシアに投獄されるのは楽しいことではありません。
逮捕された人々のほとんどは、ランサムウェアエコシステムの低レベルのREvilアフィリエイトであると考えられていますが、外交交渉で消費可能な資産であるということは、首謀者やギャングリーダーへの直接の教訓です。
この抑止力は、大胆な攻撃の目立った減少と、サイバー犯罪者によるトラックのカバーや操作全体のシャットダウンの試みの増加につながる可能性があります。 DarkSideで見たように コロニアルパイプラインハック後
[ お客様の声は: DarkSideランサムウェアのシャットダウン:出口詐欺または丘への実行? ]
4.イランと北朝鮮のランサムウェア接続:
米露関係のレンズの中でREvilの削除が見られている間、経済制裁を回避するためにランサムウェア攻撃と暗号銀行強盗を使用している北朝鮮とイランの少なくともXNUMXつの国家があります。
ロシア人がランサムウェアの損害賠償を交渉のレバレッジとして使用できる場合、それは他の国々が同じ戦略を追求する前例を設定します。 北朝鮮のハッカー なんと400億ドルを盗んだ 2021年には暗号通貨の価値があり、イランの国民国家が支援するアクターからのランサムウェア攻撃が文書化されています。
これらの.gov脅威アクターが制裁をアウトソーシングすることを期待してください-帰属をかわすか、将来の外交交渉を設定しようとして、ランサムウェア操作を傭兵民間セクターアクターに破壊します。
[ お客様の声は: マイクロソフトがウクライナのサイバー攻撃で使用されている破壊的なマルウェアを発見 ]
5.(良い)帰属の価値
注目すべき興味深い点のXNUMXつは、ランサムウェアエコシステムのアクターを含む頂点捕食者を混乱させるために使用されている新しい「砂と摩擦」戦略で、米国政府が高品質の属性を使用していることです。
戦略 対象となるAPTアクティビティに関する特定の警告、および防御側を支援するツールとIOCを公開するためのソーシャルメディアでの直接アトリビューションの使用に関する複数の機関のアドバイザリが含まれます。 この高品質の帰属は、REvilギャングの逮捕につながる.gov情報共有のレベルにとって非常に重要です。
アトリビューションはトリッキーな分野になる可能性がありますが、その価値はかつてないほど緊急になっています。
政府や外交官が会話を管理している場合でも、サイバーセキュリティ業界がランサムウェアエコシステムの紆余曲折を理解することは重要です。
関連記事: ロシアはREvilランサムウェアギャングにスマックダウンを置きます
関連記事: ウクライナのハックがロシアとのサイバー紛争の懸念を強める
関連記事: DarkSideランサムウェアのシャットダウン:出口詐欺または丘への実行
関連記事: 法執行機関のハックバック作戦に襲われたREvilランサムウェアギャング
関連記事: ランサムウェア対策の取り締まりにおける米国財務省の制裁暗号交換
バーチャルイベント: Ransomware Resilience&Recovery Summitの登録が開始されました–26月XNUMX日
出典:https://www.securityweek.com/five-key-signals-russias-revil-ransomware-bust