ブロックチェーン分析による2020年最大のランサムウェアの関連の解明

Chat With Us
Thanks for your interest! We'll be in touch shortly.
Oops! Something went wrong while submitting the form.

このブログは「Chainalysis 2021 Crypto Crime Report」からの抜粋です。全文をダウンロードするにはここをクリックしてください。

このブログ記事でも紹介したように、個々の攻撃の数、ランサムウェアの種類、被害者から奪った金額などを考えると、ランサムウェアを扱う攻撃者の数は、想定よりも少なく思えるかもしれません。RaaS関連組織の多くが、ランサムウェアの種類を切り替えながら攻撃を行っていることは、サイバーセキュリティの研究者から指摘されており、一見異なる系統に見えるものが実は同じ管理者たちによるものという考察も多くあります。そこで本記事では、ブロックチェーン分析によって明らかとなる、2020年に流行した4つのランサムウェアの関連について取り上げます。今回着目する4つのランサムウェアはMaze、Egregor、SunCrypt、Doppelpaymerです。

これら4つのランサムウェアは、昨年かなり活発に活動し、Barnes & NobleLGPemexUniversity Hospital New Jerseyなどの著名な企業を攻撃しました。これらはいずれもRaaSモデルを採用しており、アフィリエイトが自らランサムウェアでの攻撃を行い、被害者からの支払いの一部をそのランサムウェアの作成者や管理者に還元するという仕組みになっています。また、これらのランサムウェアは、被害者のデータを奪うだけでなく、そのデータの一部をオンラインで公開することで、被害者が身代金を支払う動機付けとする「二重の脅迫」(Double Extortion)を行なっています。

以下のグラフでは、2019年後半以降の4つのランサムウェアの収益を、四半期ごとに分けたものです。

Egregorが活動を開始したのは2020年9月中旬で、Maze系統が活動を停止した直後でした。サイバーセキュリティ研究者の中には、このことをMazeとEgregorが何らかの形でつながっている証拠だと考える人もいます。11月初旬、Mazeの運営者は、活動の鈍化の後、Mazeが停止する旨をウェブサイトに掲載したプレスリリースで発表しました。その直後、ほとんどのアフィリエイトがEgregorに移行したことから、Egregorは、Mazeの運営者が単にブランド変更し、利用者に乗り換えるよう指示したものではないかと考えられています。あるいは、ランサムウェアでは比較的よくあることですが、アフィリエイトが自らEgregorを最適な選択肢と判断した可能性もあります。また、アフィリエイトが運営者に不満を持ち、分裂に至った可能性もあります。しかし、Bleeping Computerが指摘しているように、MazeとEgregorは同じコード、同じランサムノートを共有しており、被害者の支払いサイトも非常によく似ています。サイバーセキュリティ企業のRecorded Futureもこの点を指摘しており、EgregorとQakBotと呼ばれるバンキング・トロージャンとの類似性も指摘しています。

これはEgregorだけの問題ではありません。Bleeping Computerは別の記事で、SunCryptの代表者が、Mazeのシャットダウン発表前に「Mazeランサムウェアカルテル」の一員であると名乗って連絡してきたと主張していますが、Mazeはこれを否定しています。しかし、脅威インテリジェンス企業Intel471の非公開レポートでも、SunCryptの代表者が「よく知られたランサムウェアを書き換えてブランド名を変更したもの」と説明したとして、関連を裏付けています。Intel471のレポートによれば、SunCryptは協力者の採用にあたっては少数に絞って吟味していたとのことです。したがって、SunCryptと他のランサムウェアの間でアフィリエイトが重複しているのは、単なる偶然ではなく、2系統間に深いつながりがある可能性が高いと考えられます。

ブロックチェーンの分析からみえる4種のランサムウェアの関連

以上のように、4つのランサムウェアの一部には、関連を示す強い証拠があり、アフィリエイトの移行も報告されています。しかし、ブロックチェーン上ではどのようなつながりが見られるのでしょうか。まずはMazeとSunCryptから見てみましょう。

上記のChainalysis Reactorグラフは、MazeランサムウェアのアフィリエイトがSunCryptにも関わっていることを示す有力な証拠となっています。グラフの下部では、Mazeがランサムウェア攻撃で得た資金をどのように分配しているかがわかります。まず、獲得した身代金の大半は、ランサムウェア攻撃を実際に実行するリスクを負うアフィリエイトに支払われます。次に多いのは、第三者への分配です。その第三者がどのような役割を担っているかは定かではありませんが、おそらくMazeの攻撃を補助するサービスプロバイダであると考えられます。ランサムウェアの攻撃者は、防弾ホスティング、ペネトレーションテストサービス、脆弱性を突いた被害者のネットワークへのアクセスなどのツールを第三者に依存することがよくあります。このような補助的なサービスプロバイダは、サイバー犯罪者のダークネットフォーラムで商品を販売することがあるものの、必ずしもすべてのランサムウェア攻撃に関与しているわけではありません。最後に、身代金のうち少額が、ランサムウェア管理者が所有しているであろう別のウォレットに渡ります。

ただし今回のケースでは、Mazeの利用者が「Suspected SunCrypt admin」と書かれたアドレスに、中間ウォレットを経由して約9.55ビットコイン(9万ドル以上)の資金を送っていることがわかりました。このウォレットは、いくつかのSunCrypt攻撃に関連する資金を統合したウォレットの一部であることが判明しています。

別のReactorのグラフでは、EgregorとDoppelpaymerランサムウェアの系統間のリンクを示します。

このケースでは、Egregorのウォレットが、Doppelpaymerの管理者のものと疑われるウォレットに、約78.9BTC(約85万ドル相当)を送金しています。確信は持てませんが、これもアフィリエイトの重複の一例だと考えています。我々は、Egregorのウォレットは、Doppelpaymerの管理者に資金を送っている別種類のランサムウェアのアフィリエイトでもあると仮説を立てています。

最後に、以下のReactorグラフは、MazeとEgregorの管理者が同じマネーロンダリングのインフラを使用していると考えられる例を示しています。

2つのランサムウェアの身代金収集ウォレットは、中間ウォレットを介して著名な暗号資産取引所の2つの入金アドレスに送金しています。この2つの入金先は、その取引パターンから、ランサムウェアの運営者やその他のサイバー犯罪者が不正に入手した暗号資産を現金取引することを専門とするOTCブローカーのものであると考えられます。Mazeの場合、これらの資金は、まずマネーロンダリングが疑われる別のサービスを経由してからOTCアドレスに到達しています。Mazeがそのサービスから現金を受け取っているのか、それともOTC自体から受け取っているのかは不明であり、OTCブローカーとロンダリングサービスの運営者が同一である可能性もあります。

これは、MazeとEgregorの管理者や関係者が同じであることを示唆するものではないものの、法執行機関にとっては重要な手がかりとなる可能性があります。暗号資産関連の犯罪は、不正に得た資金を現金化する手段がなければ意味がありません。上図にあるマネーロンダリングサービスや悪質なOTCブローカーのような悪者を追うことで、法執行機関はランサムウェアの管理者や関係者を実際に捕まえなくても、MazeやEgregorの収益を大幅に阻害することができます。これは、今回の特定のランサムウェアだけに当てはまるものではありません。


このロンダリングサービスは、Doppelpaymer、WastedLocker、Netwalkerからも資金を得ており、このカテゴリ全体で290万ドル相当の暗号資産を受け取っています。同様に、HydraやFEShopなどのダークネットマーケットからも約65万ドル相当の暗号資産を受け取っています。グラフ上の2つのOTCブローカーのアドレスでも同様の犯罪とのつながりが見えます。

ブロックチェーン分析による調査から言えること

Maze、Egregor、SunCrypt、Doppelpaymerの管理者が同じとは断言できませんが、いくらか共通の関係者がいることは明らかでしょう。また、MazeとEgregorは、関わり方は異なっているものの、暗号資産の現金化に同じOTCブローカーを利用しています。

このようなつながりの深さや性質にかかわらず、現在活動している個別のランサムウェアの種類の数を考えると、ランサムウェアの世界は思ったよりも小さいかもしれません。このような情報は、法執行機関の力を高めることにつながります。複数のランサムウェアを管理しているグループや、複数のランサムウェアを現金化しているOTCを特定して対処することができれば、1回の取り締まりで複数のランサムウェアの活動を停止させたり、影響を与えたりすることが可能になります。

このブログはChainalysis 2021 Crypto Crime Reportからの抜粋です。全体をダウンロードするにはここをクリックしてください。

Read the Full Report

To see our full research on this topic, sign up to receive access to the complete Chainalysis Crypto Crime Report: Decoding hacks, darknet markets, and scams.

Get Access to the Report

Learn more about KYT for Stablecoins & Token Issuers

Monitor transactions across the token’s full lifecycle, from issuance to redemption—and any transaction in between.

Learn More
Thank you! We'll be in touch shortly.
Oops! Something went wrong while submitting the form.
Thank you! We'll be in touch shortly.
Oops! Something went wrong while submitting the form.

We’re growing! Check out our 25+ open roles >

Thank you! We'll be in touch shortly.
Oops! Something went wrong while submitting the form.
Oops! Something went wrong while submitting the form.
Please check your mailbox for a copy of the report.
Oops! Something went wrong while submitting the form.
Next article

Chainalysis Team

Watch Our Exclusive Webinar

Jan 31, 12PM ET

Chainalysis senior economist, Kim Grauer, answers audience questions on our latest research in a recorded webinar.

Watch Recording