ランサムウェアSodinokibiの猛威、3日で29万ドル相当のビットコインを収集

ランサムウェア「Sodinokibi(ソディノキビ)」を配布した犯罪者は、身代金を支払った被害者からわずか72時間で287,499ドル相当のビットコイン(BTC)を収集した。セキュリティ企業McAfeeが報告した。

目次

ランサムウェアSodinokibiの脅威

今年4月にリリースされたSodinokibiは、「REvil」とも呼ばれるランサムウェアです。Sodinokibiは、グループ感染を誘い、アフィリエイトと呼ばれる集団がツールを拡散する「ランサムウェア・アズ・ア・サービス(RaaS)」と呼ばれるスキームを採用しています。Sodinokibiは、被害者毎に固有のBTCウォレットを生成します。

McAfeeは、2019年6月17日の地下フォーラム上の‘Lalartu’の投稿に基づいて、Chainanalystの協力を得てブロックチェーン分析を実施しました。収集した多くのサンプルから、支払請求額は0.44〜0.45 BTC、平均4,000ドル。72時間以内に287,499.00ドルの身代金が転送された事が分かった。

比較的短期間にアクティブなアフィリエイトは41以上に上り、それぞれが700ドル~1,500ドルを獲得している事が分かった。特定のアフィリエイトの痕跡をたどると、最終的に合計443 BTC、平均ビットコイン価格で約450万ドルを保有する一意のビットコイン・ウォレットが見つかっている。

被害者のBTCを追跡した資料

上記のスクリーンショットでは、これらの金額の一部がウォレットから転送されるか、ビットコインが取引所で購入され、アフィリエイト・ウォレットに転送されるトランザクションが表示されている。ビットコインミキサー「Bitmix.biz」は次のトランザクションを難読化して、追跡を困難にしています。リサーチャーは以下の様に説明した;

「スパゲッティのように見えるかもしれない。しかし、調べると非常に興味深いパターンを発見できます。まず、指定ウォレットに犠牲者が支払っている事が確認できます。そこからアフィリエイター、またはディストリビューション・ウォレットに送られるまで、平均2〜3回のトランザクションが発生しています。」

「そのウォレットから分割が確認できます。60%または70%はアフィリエイトに留まり、残りの40~30%は複数回のトランザクションでSodinokibiの背後にいるアクターに送られます。」


Sodinokibiが獲得した資金の一部は、ダークウェブ上のHydra Marketなどのマーケットプレイスで違法な商品やサービスを購入するために使用された。

ランサムウェアは近年ますます注目を集めています。先週、米国のいくつかの病院は、攻撃者の要求に応じ、要求された身代金を仮想通貨で支払いました。

「会社が身代金の支払いに応じる状況があることを理解しているが、そうすることで、このビジネスモデルを存続させ、他の犯罪市場にも資金を提供します。」とMcAfeeは警告した。

関連記事



目次