医療企業Change Healthcareを標的としたランサムウェア攻撃は、ここ数年で最も深刻な混乱を引き起こした攻撃の一つであり、全米の薬局(病院内の薬局も含む)に甚大な被害をもたらし、処方薬の配送に10日間以上深刻な支障をきたしています。現在、犯罪組織の地下組織内での論争により、この混乱の新たな展開が明らかになりました。攻撃の背後にいるハッカー集団「AlphV」または「BlackCat」のパートナーの一人が、このハッカー集団が2,200万ドルの取引を受け取ったと指摘しています。これは、多額の身代金支払いと酷似しています。
3月1日、AlphVと関連のあるビットコインアドレスは、1回の取引で350ビットコイン、当時の為替レートで約2,200万ドル(約23億円)を受け取りました。その2日後、AlphVの関係者(被害者のネットワークに侵入するために同グループと共謀するハッカーの一人)を名乗る人物が、サイバー犯罪者向けの地下フォーラム「RAMP」に、AlphVがChange Healthcareの身代金の取り分を騙し取ったと投稿し、ビットコインのブロックチェーン上に公開されている2,200万ドルの取引を証拠として挙げました。
ステファン・トーマスは、7,002ビットコインが入った暗号化USBドライブのパスワードを紛失した。あるハッカーチームは、トーマスに許可を得ることができれば、パスワードを解除できると考えている。
この投稿を最初に発見したセキュリティ企業Recorded Futureの研究者、ドミトリー・スミリャネツ氏によると、これはChange HealthcareがAlphVに身代金を支払った可能性が高いことを示唆している。「そこに入金されたコインの数が分かります。このような取引はめったに見られません」とスミリャネツ氏は言う。「AlphVが管理するビットコインウォレットに多額の金額が入金された証拠があります。そして、このアフィリエイトはこのアドレスをChange Healthcareへの攻撃に結び付けています。つまり、被害者が身代金を支払った可能性が高いのです。」
ユナイテッドヘルス・グループ傘下のチェンジ・ヘルスケアの広報担当者は、同社がアルフVに身代金を支払ったかどうかについては回答を拒否し、「現在は捜査に集中している」とだけWIREDに語った。
レコーデッド・フューチャーとブロックチェーン分析会社TRMラボは、2,200万ドルの支払いを受けたビットコインアドレスをAlphVハッカーのアドレスと関連付けています。TRMラボは、このアドレスを1月に発生した他の2人のAlphV被害者からの支払いにも関連付けることができると述べています。
チェンジ・ヘルスケアが2,200万ドルの身代金を支払った場合、それはAlphVにとって巨額の利益となるだけでなく、医療業界にとって危険な前例となるだろうと、セキュリティ企業Emsisoftのランサムウェア研究員であるブレット・キャロウ氏は主張する。彼によると、ランサムウェアへの支払いはすべて、犯人グループによる将来の攻撃資金となるだけでなく、他のランサムウェア攻撃者に同じ手口を試すよう促すことになる。今回の場合は、患者が頼りにしている医療サービスを攻撃するのだ。
「もしChangeが実際に金を支払ったとしたら、それは問題だ」とキャロウは言う。「医療分野への攻撃がいかに利益をもたらすかを浮き彫りにしている。ランサムウェア集団は予測不可能だ。特定の分野が儲かると分かれば、何度も攻撃を繰り返すのだ。」
RAMPに支払いの証拠を最初に投稿した、自称AlphVの関係者で「notchy」という名義の人物は、AlphVがChange Healthcareから2200万ドルの身代金を受け取った後、ハッキングパートナーと合意していた利益の分配をせずに全額を手元に残したと訴えた。「皆さん、気をつけてください。ALPHVとの取引はやめてください」とnotchyは投稿した。
このアフィリエイトハッカーは、Change Healthcareのネットワークへの侵入にあたり、同社と提携している多数の他の医療企業のデータにアクセスしたとも記している。Recorded FutureのSmilyanets氏は、この主張が正しければ、アフィリエイトハッカーが依然として機密性の高い医療情報を保有しているという新たなリスクが生じると指摘する。たとえChange HealthcareがAlphVに金銭を支払ったとしても、ハッカーのアフィリエイトは追加の支払いを要求したり、独自にデータを漏洩したりする可能性がある。
「関連会社は今もこのデータを持っており、金を受け取れなかったことに腹を立てています」とスミリャネツ氏は言う。「これは皆にとって良い教訓です。犯罪者を信用してはいけません。彼らの言葉は何の価値もありません。」
ランサムウェアによる身代金支払額としては、2,200万ドルはAlphVにとって驚異的な利益となるだろう。Emsisoftのキャロウ氏によると、ランサムウェアの歴史上、これほど高額な身代金は、金融会社CNAがEvil Corpというハッカー集団に支払った4,000万ドルなど、比較的少数の例しかないという。「前例がないわけではないが、非常に異例なケースであることは間違いない」と彼は言う。
チェンジ・ヘルスケアが身代金を支払ったかどうかはともかく、今回の攻撃は、アルフVが不穏な復活を遂げたことを示しています。12月、アルフVはFBIの捜査対象となり、ダークウェブサイトを押収され、数百人の被害者への攻撃を阻止する復号鍵が公開されました。そのわずか2ヶ月後、アルフVはサイバー攻撃を仕掛け、チェンジ・ヘルスケアを麻痺させました。この障害は、薬局とその患者に1週間以上も影響を与えています。先週火曜日の時点で、アルフVは被害者への脅迫に利用するダークウェブサイトに、チェンジ・ヘルスケアを含めず28社を掲載していました。
そのサイトは現在オフラインになっている。火曜日の朝には、法執行機関による押収通知らしきものが表示されていたが、セキュリティ研究者のファビアン・ウォサー氏は、この通知はAlphVによる前回の閉鎖時のものと思われると指摘している。同グループの消失の理由は、別の法執行機関による活動によるものか、それともAlphVが不正に利用された関連組織を回避しようとしたためか、不明である。ランサムウェア追跡者によると、AlphVは以前にも何度か姿を消し、名前を変えている。セキュリティ研究者らは、BlackCat、BlackMatter、Darksideといった名前で活動していた以前のグループも、ほぼ同じグループだったと指摘している。
実際、Darksideというハンドルネームで活動するハッカーたちは、2021年にコロニアル・パイプラインを標的としたランサムウェア攻撃を実行した人物です。この攻撃は、米国東海岸全域のガス輸送を停止させ、東海岸の一部都市で一時的な燃料不足を引き起こしました。この事件でも、被害者はハッカーに身代金を支払いました。「これまでで最も難しい決断でした」と、コロニアルのCEO、ジョセフ・ブラント氏は後に米国議会公聴会で語りました。
どうやら、同じハッカーの一部が、また別の企業に同じ難しい決断を迫ったようだ。
2024 年 3 月 4 日午後 1 時 50 分 (EST) 更新: AlphV および関連するランサムウェア攻撃に関する追加のコンテキスト詳細が追加されました。
2024 年 3 月 5 日午前 10 時 30 分 (東部標準時) に更新され、AlphV のダーク ウェブ サイトに、法執行機関による削除メッセージと思われるものが表示されるようになりました。
