ウィザード・スパイダー

ウィザード・スパイダー (Wizard Spider) は、ロシアのサンクトペテルブルクとその周辺、およびウクライナに拠点を置くサイバー犯罪グループ^[1]^[2]、あるいはAPTである^[3]。メンバー数は約80人と推定されており、中には犯罪組織に雇用されていることを知らない者もいる^[1]^[4]。感染したシステムやネットワークにセカンドステージのマルウェアを送り込むためのボットネット「Trickbot」を運営しており^[5]、別名TrickBotギャングとも呼ばれる^[6]。

概要

このグループは、ユーロポール、インターポール、FBI、およびイギリスの国家犯罪対策庁からマークされ続けている^[1]。諜報機関によると、同グループはロシア圏の企業や組織はターゲットから除外しており、彼らの作成するウィルスは対象のシステムがロシア語の場合か、NIS諸国（旧ソビエト連邦圏）のIPアドレスの場合は、自動的に自分自身をアンインストールするようプログラムされている^[2]。

またグループの主要人物も逮捕されることを恐れてロシア国外に出国することはないという^[1]^[2]。以上のような理由により、ロシアはウィザード・スパイダーを容認しており、さらには彼らを国家的に支援している疑いが持たれている^[2]。

サイバーセキュリティ企業レコーデッド・フューチャー（英語版）の情報分析官は「彼らは、信じられないほど多くの攻撃を仕掛けています」と語る。同グループによる攻撃は少なくとも2年間で数百もの被害者が確認されている^[7]。さらに「彼らのインフラは非常に優れています。マイクロソフトと米国サイバー軍が破壊を試みても、活動が続いていることからもそれが分かります。正直なところ、彼らは多くの国家の関係機関よりも豊富な資金があり、技術に習熟しています」とその技術力の高さを認めている^[7]。

同グループは警戒心が非常に強く、他のランサムウェアグループと違いダークネット上で公然と宣伝したりはしない^[1]。信頼できる犯罪者とだけ協力したり、アクセス権を販売するだけである^[1]。

ハッキングで盗み出した情報を公開するリークサイトを運用しており^[2]、ここを介して被害者を侮蔑することも広く知られている^[1]。

2021年6月、アメリカ合衆国司法省((DOJ) は、TrickBotギャングに2018年後半に加入し「Max」というハンドルネームでランサムウェア開発に関与していた55歳のラトビア人女性（2020年8月に提出された起訴状ではロシア国籍とされていた）を逮捕した^[8]。この人物はDiavolとフロントエンド/バックエンドプロジェクトの開発を担当したとされる^[6]。容疑者はブラジルの北にあるスリナム共和国在住だったが、用事でアメリカフロリダ州に到着したタイミングで逮捕された^[9]。捜査陣はウィザードスパイダーの糸口を掴むため、ロシアとベラルーシの求人サイトを巡回し、犯罪グループと職を求めるプログラマー達が接触するのをチェックしていたという^[9]。

開発したとされるソフトウェア

Dyre

2014年に被害者の銀行口座からお金とログイン情報を収集するために使用されたバンカートロイの木馬^[10]。主要人物がオンライン攻撃に関与した疑いが持たれている^[1]。

Trickbot

→詳細は「en:Trickbot」を参照

2016年10月に主要ツールとして使用し始めたバンキング型トロイの木馬^[1]。その名の通り、ボットやゾンビコンピュータとしても機能する^[8]。

Anchor

TrickBotのモジュール^[11]^[6]。

Ryuk

→詳細は「en:Ryuk (ransomware)」を参照

2018年夏に初めて確認されたランサムウェア。RyukやContiで奪った身代金のビットコインを自分達のウォレットに転送しており、同グループが複数の異なるマルウェアを使用して攻撃を実行しているとみられている^[2]。

BazarLoader

2020年4月に展開し始めたステルス性の高いバックドア。ランサムウェアのペイロードを展開する前に、企業ネットワークを侵害してフルアクセスできるようにするためのツール^[5]。

Conti

→詳細は「Conti」を参照

2020年5月に初めて確認されたランサムウェア。

Sidoh

情報を収集するだけで身代金は要求しないスパイウェア^[2]^[12]。

Diavol

2021年6月に初めて確認されたランサムウェア。ルーマニア語で悪魔を意味する^[6]。Fortinetによるとlocker.exeという名前のContiのペイロードがさらに発見されたこと、ログファイル、ローカルドライブやネットワーク共有の暗号化、ネットワーク共有の特定ホストのスキャンなどに使用されるコマンドラインのパラメータがほぼ同じであることなどから、脅威アクターの主体がWizard Spiderである可能性が強いと分析している^[13]。

しかし、対象がロシアだった場合にペイロードが実行されないようにするためのチェック&バランスがないことなど、これまでのWizard Spiderのウィルスとは大きな違いがいくつかあるため、直接的な繋がりがあるかどうかはまだ不明としている^[13]。

2021年7月、IBM X-ForceがDiavolとAnchorやTrickBotといったウィザード・スパイダー製の他のマルウェアとの間のより強い関連性を発見^[6]。

2022年1月20日、FBIはDiavolランサムウェアの運営がウィザード・スパイダー（TrickBotグループ）だったと断定した^[6]。

BazarBackdoor

マルウェア。システムデータを流出させる能力を有しており、TrickbotやRyukとの関連性が指摘されている^[14]^[6]。

関与が疑われている攻撃

→詳細は「Conti」を参照

アイルランドで発生したHealth Service Executiveへのサイバー攻撃（英語版）の背後にいる疑いが持たれている^[15]^[1]。これは、医療機関に対する最大規模の攻撃である^[2]。

協力関係にあると目されるグループ

UNC1878、TEMP.MixMaster、Grim Spiderと連携しているとされる^[4]。

『身代金マフィア：世界初のランサムウェアカルテル』と題した報告書を著したジョン・ディマジオによると、このグループはランサムカルテルやMaze カルテルとして知られている犯罪者の集団の一部だという^[2]。彼らはカルテルで活動するグループの中で最大規模を誇り、いずれもランサムウェアを使用して身代金を強奪する^[2]^[12]。他のメンバーは、TWISTED SPIDER、VIKING SPIDER、LockBitギャング、SunCryptギャング（その後引退）とされる^[2]^[12]。