マルウェアを配信していたボットネットに対するシャットダウン(EUROPOL)

2024年5月30日、EUROPOLが、マルウェアを配信していたボットネットをシャットダウンしたと公表されました。

以下、リリースの翻訳です。

Largest ever operation against botnets hits dropper malware ecosystem | Europol

　2024年5月27日から29日の間、ユーロポール本部が調整する「エンドゲーム作戦」は、IcedID、SystemBC、Pikabot、Smokeloader、Bumblebee、Trickbotなどのドロッパーを標的として捜査しました。この作戦は、高レベルの被疑者の逮捕、犯罪インフラの破壊、違法収益の凍結を通じて、犯罪組織の活動を妨害することに重点を置いていました。このアプローチは、ドロッパーのエコシステムに世界的な影響を及ぼしました。作戦期間中にインフラが破壊されたマルウェアは、ランサムウェアやその他の悪意のあるソフトウェアによる攻撃を容易にしました。作戦期間中、これらの犯罪行為に関係し、ドイツが指名手配している8人の逃亡者は、2024年5月30日にヨーロッパの最重要指名手配者リストに追加されます。これらの人物は、深刻なサイバー犯罪活動への関与を理由に指名手配されています。

　これは、ランサムウェアの展開に大きな役割を果たすボットネットに対する史上最大の作戦です。フランス、ドイツ、オランダが開始し主導したこの作戦は、Eurojustの支援も受け、デンマーク、イギリス、アメリカも参加しました。さらに、アルメニア、ブルガリア、リトアニア、ポルトガル、ルーマニア、スイス、ウクライナも、逮捕、被疑者の尋問、捜索、サーバやドメインの押収または削除など、さまざまな行動でこの作戦を支援しました。この作戦は、Bitdefender、Cryptolaemus、Sekoia、Shadowserver、Team Cymru、Prodaft、Proofpoint、NFIR、Computest、Northwave、Fox-IT、HaveIBeenPwned、Spamhaus、DIVDなど、国内外の多くの民間組織からも支援を受けました。

協調行動の結果

• 逮捕者4人（アルメニア1人、ウクライナ3人）

• 16 件の場所検索 (アルメニア 1 件、オランダ 1 件、ポルトガル 3 件、ウクライナ 11 件)

• ブルガリア、カナダ、ドイツ、リトアニア、オランダ、ルーマニア、スイス、イギリス、アメリカ、ウクライナで100台以上のサーバーが停止または中断された。

• 法執行機関の管理下にあるドメインは2,000以上

　さらに、これまでの捜査を通じて、主な被疑者の1人が、ランサムウェアを展開するために犯罪インフラサイトを貸し出すことで、少なくとも6,900万ユーロ相当の暗号資産を稼いでいたことが判明しました。被疑者の取引は常時監視されており、今後の行動でこれらの資産を差し押さえるための法的許可をすでに取得しています。

ドロッパーとは何ですか？どのように機能しますか？

　ドロッパーは、攻撃ターゲットに他のマルウェアをインストールするように設計された悪意のあるソフトウェアの一種です。マルウェア攻撃の最初の段階で使用され、犯罪者はドロッパーを使用することでセキュリティ対策を回避し、ウイルス、ランサムウェア、スパイウェアなどの有害なプログラムを追加で展開することができます。最初にインストールされるドロッパー自体は通常、直接的な被害を引き起こすことはありませんが、影響を受けるシステムにアクセスして、別のマルウェアを実行するために不可欠です。

　SystemBC は、感染したシステムとC2サーバ間の匿名通信を促進しました。主にフィッシング・キャンペーンや侵害された Web サイトを介して配布された Bumblebeeは、侵害されたシステムでさらにペイロードを配信して実行できるように設計されていました。SmokeLoader は、主にダウンローダとして使用され、感染したシステムに悪意のあるソフトウェアをさらにインストールします。IcedID (別名 BokBot) は、当初はバンキング型トロイの木馬として分類されていましたが、金融データの盗難に加えて他のサイバー犯罪にも使用できるようにさらに開発されました。Pikabot は、感染したコンピュータへの最初のアクセスを取得するために使用されるトロイの木馬で、ランサムウェアの展開、リモート・コンピュータの乗っ取り、およびデータの窃取を可能にします。これらはすべて現在、ランサムウェアを展開するために使用されており、感染チェーンの主な脅威と見なされています。

ドロッパーの動作段階

• 侵入:ドロッパーは、電子メールの添付ファイル、侵害された Web サイトなど、さまざまなチャネル(侵入経路)を通じてシステムに侵入する可能性があります。また、正規のソフトウェアにバンドル(埋め込まれたり、一緒にインストールされたり)されることもあります。

• 実行:ドロッパーが実行されると、被害者のコンピュータに追加のマルウェアがインストールされます。このインストールは、多くの場合、ユーザの知らないうちに、または同意なしに行われます。

• 回避:ドロッパーは、セキュリティ ソフトウェアによる検出を回避するように設計されています。ドロッパーは、コードを難読化したり、ディスクに保存せずにメモリ内で実行したり、正規のソフトウェア・プロセスを偽装したりするなどの方法を使用する場合があります。

• ペイロードの配信:追加のマルウェアを展開した後、ドロッパーは非アクティブになるか、検出を回避するために自身を削除し、ペイロードが意図した悪意のある行動を実行できるようにします。

エンドゲーム作戦はここで終わらない

　「エンドゲーム作戦」は今日で終わりではありません。新しい行動は「エンドゲーム作戦」 のウェブサイトで発表されます。さらに、これらのボットネットやその他のボットネットに関与し、まだ逮捕されていない被疑者は、その行動について直接問われます。被疑者と目撃者は、このウェブサイトで連絡方法に関する情報を見つけることができます。

ユーロポールの指揮所は作戦行動を調整する

　ユーロポールは情報交換を促進し、捜査に対する分析、暗号追跡、科学捜査の支援を提供した。作戦の調整を支援するため、ユーロポールはすべての国との50回以上の調整電話会議と本部での作戦スプリントを組織しました。

　ユーロポールの指揮所からデンマーク、フランス、ドイツ、米国の20人以上の法執行官と、活動に関与したさまざまな国の何百人もの警察官が作戦行動の調整を支援しました。さらに、仮想指揮所により、現地活動中に現場に展開されたアルメニア、フランス、ポルトガル、ウクライナの警察官間のリアルタイムの調整が可能になりました。

　ユーロポールの司令部は、押収されたサーバーや被疑者に関する情報交換や押収されたデータの転送を促進しました。ドイツ、オランダ、ポルトガル、米国、ウクライナにも現地の司令部が設置されました。Eurojustは、関係するすべての当局間の司法協力を促進するために本部に調整センターを設置し、この活動を支援していた。ユーロジャストは、欧州逮捕令状や欧州捜査命令の執行も支援しました。

エンドゲーム作戦の中核を担う国家当局

• EU加盟国:

• デンマーク:デンマーク警察 (Politi)

• フランス: 国家憲兵隊(Gendarmerie Nationale) および国家警察 (Police Nationale)、検察庁 JUNALCO (国家組織犯罪司法局) サイバー犯罪ユニット、パリ司法警察 (Préfecture De Police de Paris)

• ドイツ：連邦刑事警察庁（Bundeskriminalamt）、フランクフルト・アム・マイン検察庁 – サイバー犯罪センター

• オランダ：国家警察（Politie）、検察庁（Openbaar Ministerie）

非EU加盟国:

• 英国：国家犯罪庁

• アメリカ合衆国:連邦捜査局、米国シークレットサービス、国防犯罪捜査局、米国司法省

エンドゲーム作戦の現地調整センターに関与する当局:

• ポルトガル:司法警察 (Polícia Judiciária)

• ウクライナ：検察総局（ОфісГенерального прокурора）国家警察（Національна поліція України）セキュリティ サービス (ウクライナ セキュリティ サービス)

　参加当局のリストは、2024年5月30日12時10分（中央ヨーロッパ時間）に更新されました。