FBIがサイバー犯罪フォーラム「RAMP」を押収
米連邦捜査局(FBI)は、ランサムウェア犯罪の温床となっていた悪名高いサイバー犯罪フォーラム「RAMP」を押収しました。RAMPのTorサイトおよびクリーンネットドメイン(ramp4u[.]io)の両方で、「The Federal Bureau of Investigation has seized RAMP.」と表示される押収通知が掲載されています。この措置は、フロリダ州南部地区検察庁および司法省のコンピューター犯罪・知的財産課と連携して行われたとのことです。
押収バナーには、RAMP自身のスローガンである「THE ONLY PLACE RANSOMWARE ALLOWED!(ランサムウェアが許される唯一の場所!)」が皮肉を込めて表示され、人気ロシアアニメ「マーシャと熊」のウィンクするマーシャの画像が添えられています。
FBIがドメイン押収時に使用するネームサーバー(ns1.fbi.seized.gov、ns2.fbi.seized.gov)に変更されていることから、法執行機関がRAMPのサーバーにアクセスしたことが確認できます。これにより、FBIはフォーラムのユーザーに関する**膨大なデータ**(メールアドレス、IPアドレス、プライベートメッセージ、その他潜在的に有罪となる情報)にアクセスできる可能性があり、適切なオペレーションセキュリティ(OpSec)を怠ったサイバー犯罪者の特定と逮捕につながる可能性があります。
RAMPサイバー犯罪フォーラムの歴史と役割
RAMPサイバー犯罪フォーラムは、2021年7月に立ち上げられました。これは、Colonial PipelineへのDarkSideランサムウェア攻撃を受けて西側の法執行機関からの圧力が高まった結果、人気のロシア語圏のExploitおよびXSSハッキングフォーラムがランサムウェア活動のプロモーションを禁止した後でした。RAMPは、ランサムウェアを公然と宣伝できる数少ない場所の一つとして自らを売り込み、多くのランサムウェアギャングが自身の活動を宣伝し、アフィリエイトを募集し、ネットワークへのアクセスを売買するために利用していました。
RAMPは、「Orange」というアクターによって立ち上げられました。この人物は「Wazawaka」や「BorisElcin」というエイリアスも使用しており、以前はD.C. Metropolitan Police Departmentへのランサムウェア攻撃後に活動を停止したBabukランサムウェアの管理者でした。
キーパーソン:ミハイル・マトベエフ
「Orange」と「Wazawaka」の背後にいる人物は、サイバーセキュリティジャーナリストのブライアン・クレブスによってロシア国民の**ミハイル・マトベエフ**として公に特定されました。マトベエフは、Recorded Futureのドミトリー・スミリャネッツとのインタビューで、以前「Orange」というエイリアスを使用していたこと、そして元Babukのオニオンドメインを使用してRAMPを立ち上げたことを認めました。彼は、RAMPが当初はBabukの既存インフラとトラフィックを再利用するために作られたと説明しました。
2023年、マトベエフは米国司法省によって、Babuk、LockBit、Hiveを含む複数のランサムウェア作戦への関与で起訴されました。これらの作戦は、米国の医療機関、法執行機関、その他の重要インフラを標的としていました。彼はまた、米国財務省外国資産管理局から制裁を受け、FBIの最重要指名手配リストに掲載されており、米国務省は彼の逮捕または有罪判決につながる情報に対し、最大1,000万ドルの報酬を提供しています。
押収がもたらす影響
今回のRAMPフォーラムの押収は、サイバー犯罪コミュニティ、特にランサムウェアアクターにとって**大きな打撃**となるでしょう。主要なプロモーションプラットフォームが失われただけでなく、過去の活動に関するデータが法執行機関の手に渡ったことで、さらなる逮捕や起訴につながる可能性が高まります。