ランサムウェア

据 Criptonoticias 报道，西班牙加利西亚自治区桑亨霍（Sanxenxo）市政府遭受勒索软件攻击，黑客加密了数千份行政文件并阻断系统访问，要求支付 5,000 美元比特币赎金。攻撃は1月26日に発生し、自治体のサーバーが完全にダウンし、17,000人以上の住民を抱えるこの都市の基本サービスの運営に影響を与えました。市政府はスペインの民間警察に通報し、身代金の支払いを拒否し、システムを復元するために毎日のバックアップを有効にしていると述べています。

根据《巴黎人报》报道，法国加密货币税务申报平台 Waltio 宣布，其遭到名为 "Shiny Hunters" 的黑客组织勒索。该组织声称已获取平台约 5 万名客户（其中大部分位于法国）的个人数据，并以此索要赎金。Waltio 是一家为加密货币持有者提供投资组合追踪和税务计算服务的公司。该公司表示已就此次 "企图勒索和破坏自动数据处理系统" 的事件向警方报案。报道指出，黑客据称在 2024 年就已获得了相关客户的电子邮件和账户余额信息。

据 Cointelegraph 报道，网络安全公司 Group-IB 研究人员发现，一款名为 "DeadLock" 的勒索软件正利用 Polygon 智能合约隐藏自身并轮换代理地址。该勒索软件于去年 7 月首次被发现，其通过调用特定智能合约动态更新用于与受害者通信的命令与控制基础设施地址。一旦受害者被感染且数据被加密，DeadLock 将发出勒索信，威胁若要求未获满足将出售被盗数据。研究人员指出，将代理地址存储在链上使得其基础设施极难被破坏，因为不存在可关闭的中心服务器，且区块链数据在全球节点上永久留存。这种滥用智能合约传递代理地址的方法具有极强变异性。尽管 DeadLock 目前曝光度较低且已知受害者数量有限，但其新颖的攻击手法仍对未予以重视的组织构成潜在威胁。

据 Group-IB 监测，勒索软件家族 DeadLock 正利用 Polygon 智能合约分发和轮换代理服务器地址，以逃避安全检测。该恶意软件于 2025 年 7 月首次被发现，通过在 HTML 文件中嵌入与 Polygon 网络交互的 JS 代码，利用 RPC 列表作为网关获取攻击者控制的服务器地址。这种技术与之前发现的 EtherHiding 类似，旨在利用去中心化账本构建难以被屏蔽的隐蔽通信通道。DeadLock 目前已出至少三个变体，最新版本还嵌入了加密通信应用 Session 以直接与受害者对话。

米国司法省の発表によると、2人のアメリカ人男性が ALPHV BlackCat ランサムウェアを使用してアメリカの複数のターゲットに対して攻撃を行った罪を認めました。ジョージア州出身のライアン・ゴールドバーグ（40歳）とテキサス州出身のケビン・マーティン（36歳）は、2023年4月から12月の間に ALPHV BlackCat ランサムウェアを展開したことを認めました。2人はネットワークセキュリティ業界の従事者であり、別の共謀者と共に ALPHV BlackCat 管理者に対して20%の身代金分配を支払ってランサムウェアの使用権を取得しました。1人の被害者から約120万ドルのビットコインを成功裏に奪った後、3人はそのうちの80%の身代金を分け合い、さまざまな方法でマネーロンダリングを行いました。2人の被告は2026年3月12日に判決を受ける予定で、最高で20年の懲役が科される可能性があります。

韓国の金融部門は最近、深刻なサイバーセキュリティ事件に直面しました。Qilin ランサムウェア組織は、マネージドサービスプロバイダー (MSP) を攻撃することによって、28 の金融機関のシステムに成功裏に侵入し、100 万件以上のファイルと 2 TB のデータを盗みました。この事件は攻撃者によって「Korean Leaks」と名付けられ、3 波に分けて実施され、主に韓国の資産管理会社を標的としています。セキュリティ専門家は、この攻撃が北朝鮮のハッカー組織 Moonstone Sleet と関連している可能性があると疑っています。攻撃者はデータ漏洩サイトで情報を公開する際に、身代金を要求するだけでなく、「システム的腐敗」と「株式市場操作の証拠」を暴露すると主張し、韓国の金融市場に恐慌を引き起こそうとしています。

据 The Hacker News 报道，Qilin 勒索组织通过攻破韩国一家 IT 服务商 GJTec，发起 "Korean Leaks" 供应链攻击，导致 28 家金融企业受害、100 多万文件共计 2 TB 数据被窃。Bitdefender 调查发现该行动与朝鲜背景 APT "Moonstone Sleet" 有关，疑似与俄语系 Qilin 组织合作，目标对韩国金融市场施压。

ChainCatcher のメッセージによると、Bitcoin News が報じたところによれば、ランサムウェア組織「Rhysida」がアメリカ・メリーランド州の交通局から敏感なデータを盗み、これらのデータを 30 ビットコイン（約 340 万ドル）の価格でオークションにかけているとのことです。

ChainCatcher のメッセージによると、アメリカ司法省の情報に基づき、イギリス市民の Thalha Jubair が少なくとも 120 件のネットワーク侵入およびランサムウェア攻撃に関与したとして起訴され、47 のアメリカの団体が関与しており、被害者が支払った身代金の総額は 1.15 億ドルを超えています。起訴状は、19 歳の Jubair（別名「EarthtoStar」、「Brad」、「Austin」など）が「Scattered Spider」と呼ばれるサイバー犯罪グループと協力し、ソーシャルエンジニアリング技術を通じて不正なネットワークアクセスを取得し、情報を盗み暗号化した後、被害者に身代金を要求したとしています。このグループは、アメリカの重要なインフラ企業やアメリカの裁判所システムにも攻撃を行いました。法執行機関は 2024 年 7 月にサーバーを押収した際、約 3600 万ドル相当の暗号通貨を押収することに成功しました。Jubair はコンピュータ詐欺、電気通信詐欺、マネーロンダリングなどの多くの罪で起訴されており、最大で 95 年の懲役刑に直面しています。

ChainCatcher メッセージ一つのいわゆる欧州刑事警察機構（Europol）がロシアのランサムウェアグループ Qilin の管理者を追跡するために 5 万ドルの懸賞をかけたというニュースは、実際には Telegram の詐欺です。この虚偽の懸賞メッセージは、複数のサイバーセキュリティニュースメディアを欺き、Europol が Qilin の二人の管理者 Haise と XORacle に関する情報を提供できる者に報酬を支払うと誤解させました。報告によれば、これら二人は「関連組織を調整し、ランサム活動を監督する」責任があり、Europol は「これらの管理者を特定または位置づけることに直接つながる情報」を求めています。しかし、Europol は Security Week に対し、このいわゆる懸賞は実際には「詐欺」であり、同機関はそのような懸賞を発表したことはないと確認しました。

ChainCatcher メッセージ、アメリカ合衆国司法省は、バージニア州、カリフォルニア州、テキサス州の連邦裁判所が6件の捜索令を解除した後、280万ドル以上の暗号通貨、7万ドルの現金、そして高級車1台を押収したと発表しました。これらの資産は、イアニス・アレクサンドロビッチ・アントロペンコ（Ianis Aleksandrovich Antropenko）が洗浄したランサムウェア犯罪の所得に関連しているとされ、彼は現在テキサス北部地区で起訴されています。起訴状によれば、アントロペンコとその仲間はゼッペリンランサムウェアを展開し、被害者のシステムに侵入してデータを暗号化し、情報を盗み出した後、ファイルの復号化、漏洩の防止、または盗まれたデータの削除と引き換えに身代金を要求しました。被害者には、アメリカ国内外の個人、企業、機関が含まれています。捜索令によると、アントロペンコは複数の手段を通じてランサムの所得を洗浄しており、その中には2023年に国際的な法執行機関によって解体された暗号通貨ミキシングサービスであるChipMixerの使用が含まれています。彼はまた、暗号通貨を現金に換え、規制を回避するために口座に分割して預け入れていました。

ChainCatcher のメッセージによると、Decrypt が報じたところでは、アメリカのテキサス州当局が、ランサムウェアオペレーターのイアニス・アントロペンコに関連する280万ドルの暗号通貨、7万ドルの現金、そして高級車を押収したと発表しました。アントロペンコは、ゼッペリンランサムウェアを使用して世界的なターゲットを攻撃したとされています。データによると、2024年のアメリカにおける暗号関連犯罪の損失は93億ドルに達し、前年同期比で66%増加しています。司法省のサイバー犯罪部門は、被害者の資金として3.5億ドルを回収し、2億ドル以上の潜在的な身代金の支払いを阻止したと述べています。

ChainCatcher のメッセージによると、アメリカおよび国際的な法執行機関が押収したのは、4 台のサーバー、9 つのドメイン、および約 100 万ドルのビットコインであり、これらの資産は悪名高いロシアのランサムウェアグループに関連しており、このグループは重要な分野を含む数百の機関を攻撃したとされています。アメリカ司法省は、この作戦が 7 月 24 日に開始され、アメリカがカナダ、ドイツ、アイルランド、フランス、イギリス、ウクライナ、リトアニアなどの機関と共同で実行したもので、BlackSuit および Royal ランサムウェアに関連するインフラをターゲットにしたと述べています。調査官は、これらの 2 つのランサムウェアの変種が同じサイバー犯罪グループによって開発されたと考えています。当局によると、2022 年以来、このグループは 5 億ドル以上の身代金を要求しており、その中には 6,000 万ドルに達する単一の身代金も含まれています。彼らはこの期間中にアメリカの 450 以上の被害者を攻撃し、病院、学校、警察署、エネルギー会社、政府機関を含む、少なくとも 3.7 億ドルの不正利益を得たとされています。押収された暗号通貨は押収時に 1,091,453 ドルの価値があり、2024 年 1 月に取引プラットフォームで凍結されたデジタルウォレットからのものでした。裁判所の文書によると、この資金には 2023 年 4 月に被害者が支払った 145 万ドルの身代金の一部としてのビットコインが含まれています。BlackSuit および Royal の被害者は通常、ダークウェブサイトを通じてビットコインで身代金を支払うよう求められます。サイバーセキュリティの専門家は、この種のマルウェアの操作者が恐喝手段と複雑なデータ窃盗技術を組み合わせているため、身代金を支払わずにデータを復元することが非常に難しいと警告しています。

ChainCatcher のメッセージによると、Cointelegraph の報道では、ブロックチェーンインテリジェンス会社 TRM Labs が、Embargo という名前のランサムウェア組織が 4 月以来、3400 万ドル以上の身代金関連の暗号通貨を移転したと述べています。Embargo は現在、約 1880 万ドルの暗号通貨を関連のないウォレットに保管しており、専門家はこの戦略が検出を遅らせるため、または将来的により良いマネーロンダリング条件を利用するためのものである可能性があると考えています。Embargo はランサムウェア・アズ・ア・サービス (RaaS) モデルで運営されており、主に医療、ビジネスサービス、製造業などの高コストな業界をターゲットにしており、アメリカ国内の被害者を攻撃する傾向があります。これは、彼らの支払い能力がより強いためかもしれません。TRM の調査によると、Embargo は悪名高い BlackCat (ALPHV) 組織の改名版である可能性があり、後者は今年の初めに疑わしい退出詐欺のために姿を消しました。Embargo は LockBit や Cl0p のように明らかに攻撃的ではありませんが、二重ランサム戦略を採用しています：システムを暗号化し、被害者に対して支払いをしなければ機密データを漏洩すると脅迫します。場合によっては、この組織は公然と名指しをしたり、ウェブサイト上でデータを漏洩させて圧力をかけることもあります。

ChainCatcher のメッセージによると、アメリカ合衆国司法省北テキサス地区検察官事務所の報告に基づき、アメリカ合衆国司法省は7月24日にテキサス北区裁判所に対して民事訴訟を提起し、以前に押収された暗号資産の没収を申請しました。報告によれば、FBI ダラス支局は4月15日にある暗号アドレスから約20.29 BTCを押収し、現在の市場価値は240万ドルを超えています。関連資産は、ランサムウェア組織 Chaos のメンバー "Hors" に関連しているとされ、マネーロンダリングやコンピューターレンサムなどの違法活動に関与しています。このグループはテキサス北区および他の地域で複数のサイバー攻撃を実施していました。

ChainCatcher のメッセージによると、IT之家がブルームバーグの報道を引用して、アメリカ司法省が DigitalMint の元ランサムウェア交渉専門家を調査しているとのことです。この専門家は、ハッカーと秘密の合意を結び、ランサムの身代金から手数料を抜き取ったとして告発されており、顧客の利益を深刻に損なっています。DigitalMint はシカゴに本社を置くインシデントレスポンスおよびデジタル資産サービス会社で、ランサムウェア交渉や暗号通貨支払いサービスを専門としており、顧客が復号鍵を得て盗まれたデータの漏洩を防ぐ手助けをしています。調査の焦点は、この交渉専門家が連邦法に違反したかどうか、具体的には共謀、電信詐欺、マネーロンダリングが含まれます。もし有罪となれば、この人物は厳しい処罰を受けることになります。DigitalMint は、関与した従業員が即座に解雇されたと声明を出しており、その行為は個別のケースであるとしています。

ChainCatcher のメッセージによると、Cointelegraph が報じたところによれば、アメリカ財務省はロシアの Aeza Group に関連する暗号ウォレットを制裁した。このウォレットのアドレスには約 35 万ドルの資金が含まれている。Aeza はランサムウェアと情報窃盗プログラムのホスティングサービスプロバイダーとして指摘されており、複数のサイバー犯罪活動にインフラ支援を提供している疑いがある。このウォレットは Tron ブロックチェーン上にあり、Aeza の管理ウォレットとして、受取と送金に使用されており、複数の制裁対象の実体と関連している。今回の制裁には Aeza の幹部および関連企業も含まれており、関連するアメリカの資産は凍結され、アメリカの個人および機関はこれらと取引することができない。

ChainCatcher のメッセージによると、Bitcoin.com が報じたところでは、Lockbit ランサムウェアの開発者 Rostislav Panev がアメリカに引き渡され、現在拘留されており、裁判を待っています。アメリカ司法省の起訴によれば、彼は 2022 年以来このソフトウェアのプログラマーを務めており、約 23 万ドル相当の暗号通貨の送金を受け取っていました。サーバーが押収され、関係者が有罪を認めたことで、Lockbit はさらなる打撃を受ける可能性がありますが、現在この組織のリーダーである Dmitry Khoroshev などの重要人物は依然として自由です。ロシア国民の Ruslan Magomedovich Astamirov とカナダとロシアの二重国籍を持つ Mikhail Vasiliev も Lockbit 組織のメンバーとして特定されており、彼らは 2023 年と 2022 年に逮捕され、それぞれ最大 25 年および 45 年の懲役に直面する可能性があります。

ChainCatcher のメッセージによると、国際的な調整努力の下、タイのプーケット島の法執行機関は月曜日に、暗号ランサムウェア攻撃を実施した疑いのあるロシア市民4人を拘留しました。これらの容疑者は、2023年4月から2024年10月の間に17社のスイス企業をランサムウェア攻撃した8Base組織のメンバーであると考えられています。容疑者は、複数の欧州企業のネットワークに侵入し、データを暗号化し、暗号通貨での解読料金の支払いを要求したとされています。Phobosランサムウェアは、通常、強力なサイバーセキュリティ対策が不足している中小企業を標的にします。これらの事件に加えて、容疑者は世界中の約1,000人の被害者と関連しており、約1,600万ドルのビットコインが盗まれています。8Base組織は、暗号ランサムウェアエコシステムの重要な参加者として特定されています。容疑者は現在、ランサムウェア攻撃への関与に関連する告発に直面するための引き渡しを待っています。

ChainCatcher のメッセージによると、Chainalysis の報告で、アメリカ合衆国財務省海外資産管理局（OFAC）、イギリス外交・連邦省（FCDO）、およびオーストラリア外交貿易省（DFAT）は、2025年2月11日にロシアの防弾ホスティングサービスプロバイダー Zservers に対する制裁を共同で発表しました。この会社は、LockBit ランサムウェアグループの攻撃活動を支援したために制裁を受けました。制裁リストには、ロシアの市民である Aleksandr Bolshakov、Alexander Mishin とその関連する暗号通貨アドレス、さらに Zservers 社およびその3つの暗号通貨アドレスが含まれています。オンチェーンデータによると、Zservers は Garantex などの KYC 不要の取引所を通じて520万ドル以上の資金清算を行っています。この会社はロシア、ブルガリア、オランダ、アメリカ合衆国、フィンランドにサーバーを持ち、複数のランサムウェア組織にインフラストラクチャサポートを提供しています。