はじめに
ランサムウェアグループ「BlackBasta」とロシアのホスティング企業「Media Land」に関連する大規模な情報漏洩により、サイバー犯罪組織の内部構造と関係者が初めて明らかになりました。防衛側がめったに目にすることのできない、主要なランサムウェア運営の内部機構と関係者の詳細が、これらのリークによって白日の下にさらされています。
リークの概要:BlackBastaチャットとMedia Landデータベース
事態は2025年2月に、匿名ユーザー「ExploitWhispers」がTelegram上にBlackBastaの内部チャットの巨大なアーカイブを公開したことから始まりました。このJSONファイルには、2023年9月18日から2024年9月28日の間に交わされた約20万件のメッセージが含まれており、技術的な議論や運営の詳細に加え、後に制裁リストに載ることになる「Slim Shady」ことKirill Zatolokinを含む実名が明らかになりました。
続く2025年3月28日には、別の匿名アクターがMedia Landに関連するデータベースをリークしました。これにはサーバー設定、顧客の購入履歴、ユーザーアカウントデータ、同社の運営に関連する暗号通貨アドレスといった内部記録が含まれていました。
「合法」を装うホスティング企業の実態
Media Landは表向きは「合法的な」ロシアのホスティングプロバイダーでしたが、リークされたデータは、この企業が長年にわたりサイバー犯罪者にインフラを提供してきた弾丸ホスティング(BPH)サービス「Yalishanda」と密接に絡み合っていたという、多くの地下世界で囁かれていた疑念を裏付けるものでした。このリークは、登録されたロシア企業がなぜこれほど深くサイバー犯罪インフラに組み込まれているのかという疑問に対し、それが「真のビジネスモデル」だったという明確な答えを提供しました。
BlackBastaのインフラと「Slim Shady」の役割
リークされた情報によると、BlackBastaはMedia Land/Yalishandaをその運営の基盤として強く依存していました。専用サーバー、帯域幅、サポート、および不正利用への耐性など、Media Landは当時最も活発なランサムウェアシンジケートの1つに対し、高品質なプロバイダーとして機能していたのです。内部チャットでは、「Slim Shady」(Zatolokin)がBlackBastaとホスティングインフラの橋渡し役を務め、速度テストの共有、数十ギガbpsにおよぶ帯域幅の使用状況の議論、BlackBastaの要求が増えるにつれて支払い交渉を行っていたことが示されています。
法執行機関による制裁と露出
これらの証拠の収束は、規制当局に道を開きました。2025年11月19日、米国財務省外国資産管理室(OFAC)は、オーストラリアおよび英国当局と協力し、Media Landとその子会社Data Center Kirishiに対し制裁を発表しました。さらに、Media Landのゼネラルディレクターであり、Yalishandaの長年の運営者であるAleksandr Volosovikと、サイバー犯罪インフラおよびランサムウェア運営への直接的な関与によりKirill Zatolokinの2名が名指しされました。
Volosovikは2019年にはYalishandaの主要な運営者として公に特定されており、長年にわたりマルウェア運営者、ランサムウェアのアフィリエイト、初期アクセスブローカーを対象とした弾丸ホスティングを運営してきました。Zatolokinは、「Slim Shady」というエイリアスの下で顧客対応の運営者およびインフラコーディネーターとして活動し、クライアントの管理、パフォーマンス問題の解決、そして犯罪インフラを密かにオンラインに維持する役割を担っていました。
また、リークは舞台裏の金融の流れも暴露しました。チャットログと取引履歴は、BlackBastaの運営者がランサムウェアの支払いから得た資金をどのように洗浄し、USDTのようなステーブルコインに価値を移し、その洗浄された資産をインフラ、SOCKSプロキシ、スタッフの給与支払いに使用していたかを示しています。
ランサムウェアの「隠された基盤」
BlackBastaのチャットとMedia Landのデータベースは、現代のロシア語圏のランサムウェア運営がどのようにエンドツーエンドで機能しているかを示す稀有な設計図となっています。これらは、「合法」を装ったフロント企業、弾丸ホスティング、大容量の帯域幅取引、そして犯罪グループと彼らを維持するインフラとの間に位置する信頼できる仲介者からなる、密接に結びついたウェブを明らかにしています。
制裁、暴露、リークが、このエコシステムを即座に解体することはありません。VolosovikやZatolokinのようなアクターは、ドメインを変更し、ウォレットを交換し、新しいハンドルを採用することができます。しかし、これらの開示は、防衛側、アナリスト、法執行機関に対し、追跡、相関付け、そして時間をかけて破壊できる具体的な名前、インフラパターン、および金融の流れという極めて貴重な情報を提供します。ランサムウェアがビジネスであるならば、インフラはそのバックボーンです。これらのリークは、そのバックボーンがどこで繋がり、次にどこに圧力をかけることができるかを正確に示しています。