国際的サイバー犯罪ツールの大規模な無力化

米国を含む西側9カ国政府は協力し、複数の主要なサイバー犯罪ツールを支えるコンピューターインフラを共同で解体しました。今回の作戦は、サイバーセキュリティの脅威に対抗するための国際的な取り組みが強化されていることを示しています。

「エンドゲーム作戦」の最新段階で広範囲な成果

3日間にわたる集中的な作戦で、法執行機関は「Rhadamanthys」インフォスティーラー、「VenomRAT」リモートアクセス型トロイの木馬、および「Elysium」ボットネットに関連する1,000以上のサーバーと20のドメインを停止させました。さらに、ギリシャ警察はVenomRATの疑わしい運営者を逮捕しました。

この作戦をハーグの本部から調整したユーロポールは声明で、「解体されたマルウェアインフラは、数百万の盗まれた認証情報を含む数十万台の感染コンピューターで構成されていた」と述べました。また、「Rhadamanthysインフォスティーラーの主犯格は、これらの被害者に属する10万以上の暗号通貨ウォレットにアクセスし、数百万ユーロに相当する可能性があった」と付け加えています。

今回のテイクダウンには、オーストラリア、カナダ、デンマーク、フランス、ドイツ、ギリシャ、リトアニア、オランダ、米国の各当局が参加しました。これは、サイバー犯罪組織を無力化するための継続的な多国籍な取り組みである「エンドゲーム作戦」の最新段階として位置づけられています。

標的となった主要サイバー犯罪ツールとその脅威

今回の作戦で標的となった主要なサイバー犯罪ツールは以下の通りです。

• Rhadamanthysインフォスティーラー: 複数のハッカー集団の活動で利用されており、その階層的な価格モデルと多様なモジュールは、高度な開発および販売運用を示唆していました。
• VenomRATリモートアクセス型トロイの木馬: ProofpointがTA558として追跡する脅威アクターによる、ホテルやその他のホスピタリティ企業への攻撃で頻繁に確認されていました。
• Elysiumボットネット: 詳細は明記されていませんが、他の2つと同様に広範囲な被害をもたらす能力を持つボットネットとされています。

官民連携によるサイバー犯罪エコシステムへの打撃

CrowdStrike、Lumen、Shadowserverなどのサイバーセキュリティ企業、通信会社、独立研究機関が今回の作戦を支援しました。

CrowdStrikeの敵対者対策担当責任者であるアダム・マイヤーズ氏は、「今回の作戦は、法執行機関と民間企業が協力することで何が可能になるかを示している」と述べました。同氏は、「ランサムウェアのキルチェーンのフロントエンド（初期アクセスブローカー、ローダー、インフォスティーラー）を破壊することは、単に運営者自身を阻止するだけでなく、e犯罪エコシステム全体に波及効果をもたらす」と強調し、今回の措置がサイバー犯罪全般に与える影響の大きさを指摘しました。

元記事: https://www.cybersecuritydive.com/news/operation-endgame-third-phase-infostealer-rat-botnet/805549/