ランサムウェア攻撃者グループ「Phobos(フォボス)」の起訴を考察
2024年11月18日(現地時間)、米司法省はランサムウェア「Phobos(フォボス)」の販売や配布を行っていたサイバー犯罪者を起訴したと発表しました。ランサムウェア「Phobos(フォボス)」の概要を解説するとともに起訴の状況を考察します
ランサムウェア攻撃者グループ「Phobos(フォボス)」
2024年11月18日(現地時間)、米司法省はランサムウェア「Phobos(フォボス)」の販売や配布を行っていたサイバー犯罪者を起訴したと発表しました。米司法省は、ランサムウェア「Phobos(フォボス)」の販売、配布、運用を指揮したとしてロシア国籍のエフゲニー・プチシン容疑者(42歳)を起訴、ランサムウェア「Phobos(フォボス)」は、その関連組織を通じて、米国および世界中の1,000以上の公的機関および民間組織を被害に遭わせ、1,600万ドル以上の身代金を強要したと公表しています。加えて、警察庁も本件について、外国捜査機関とも連携して捜査を推進し、捜査で得た情報を外国捜査機関に提供、被疑者の検挙に貢献した旨を公表しています。
トレンドマイクロでは、2019年からランサムウェア「Phobos(フォボス)」の活動を確認しています。また2024年2月には、米国サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA:Cybersecurity & Infrastructure Security Agency)が、この攻撃者グループの手口に関する情報を公表しました。
2024年1月~3月におけるランサムウェアファミリー検出台数トップ5の月別推移を合計すると、一位であるLockbitの1,360台に次いで631台と全世界的にランサムウェア「Phobos(フォボス)」の脅威が拡がっていることが伺えます。なお、トレンドマイクロでは、8baseという別のランサムウェア攻撃者グループが、Phobosのバージョン2.9.1を使用していたことを確認しています。そのため、ランサムウェアとしてはPhobosが使われるものの、攻撃側は別のランサムウェア攻撃者である場合も考慮し、侵入手口への対策などを講じる必要があります。また、Phobosは、ランサムウェアのリークサイトを持たないことも特徴の1つです。従って、リークサイトを観測するという方法では現在のPhobosの活動範囲は掴みづらく、実際に攻撃ツールの検出状況や被害組織からの報告などの状況から活動実態を知る必要があります。
ランサムウェア「Phobos(フォボス)」は、一般的なランサムウェアと同様、感染したコンピュータの画面に警告を表示します。
トレンドマイクロが解析したランサムウェア「Phobos(フォボス)」の検体では「もし復旧したいのであれば12時間以内に連絡するように」といったメッセージが表示されます。
大阪急性期・総合医療センターやヒロケイが「Phobos(フォボス)」による被害を報告
日本国内においては、大阪急性期・総合医療センターが2023年3月に公表した調査報告書において「感染した端末のランサムノートからElbieランサムウェアを用いた攻撃者グループ「Phobos(フォボス)」の可能性が高いことが推察」したという言及があります。また、ソフトウェア開発を担う株式会社ヒロケイが2024年6月に「ランサムウェア「Phobos」により、社内ネットワーク上の複数のサーバに対してデータの暗号化、サーバのイベントログの消去、バックドア設置の痕跡を確認」した旨を公表しています。
このように、日本国内においてもPhobosに関連した被害が複数発生している状況です。トレンドマイクロが2024年1月~10月に検知したランサムウェアPhobosの検出台数は以下のグラフの通りです。日本の数値を見ると2024年4月以降の検出は少ない状況ですが、世界的に見ると検出が続いている状況から、日本でも被害が発生する懸念はあります。
グラフ:Phobosランサムウェアの検出台数(2024年1月~10月。「世界」は「日本」を含む)。
ただし、Phobosは多数の亜種ランサムウェアとの関連が疑われており、上記はあくまで攻撃の一端を示していることに注意が必要。
なお、Phobosは初期侵入に脆弱なRDPポートを狙うことが報告されており、自社のリモートデスクトップ環境に脆弱性が存在しないか点検をすることを推奨します。
起訴により「Phobos(フォボス)」は今後どうなるのか?
今回の起訴により「Phobos(フォボス)」は今後どうなるのでしょうか。過去の例をもとに考察したいと思います。最も暗躍しているランサムウェアの1つであるLockbitは、2024年2月20日、欧州刑事警察機構(ユーロポール)やイギリスのNCA(National Crime Agency:国家犯罪対策庁)、アメリカのFBI・司法省(DoJ:Department of Justice)などから、LockBitのマルウェア生成機能やアフィリエイター管理機能、暴露サイトなど攻撃インフラのテイクダウンとLockBit関与者2名の起訴が公表されました。
LockBitは、トレンドマイクロの観測データ上も、2023年に入り衰退期に入った状況でした。しかし、その後LockBitの新たなランサムウェアの亜種である「LockBit-NG-Dev」を確認したことや、LockBitのリーダーとみられる人物が、2024年2月24日に新たなLockBitのリークサイトを立ち上げ、FBIへの報復宣言とみられるメッセージと共に、活動を再開することを発表しました。
このような状況を他のランサムウェアで確認していること、8baseなどが一部ランサムウェアPhobosを利用していることなどを鑑みると、引き続きPhobosによる脅威には注視すべきといえるでしょう。対策面においては、ランサムウェアに限らず万が一被害が発生した際にどのように対応するか、という対応計画を事前に定めておき訓練を行うことなども重要です。
<関連情報>
・2024年第1四半期ランサムウェア脅威動向:PHOBOSが浮上、LOCKBITはトップの座を維持
・ランサムウェア「Phobos」感染デモ
・ランサムウェアスポットライト - 8Base
・データで紐解く、病院へのランサムウェア攻撃(2024年最新版)
・病院でランサムウェア被害が起きたらどうする?ボードゲームでシミュレーション
Security GO新着記事
RansomHubとは?~2024年に登場した新興ランサムウェア攻撃者グループ
(2024年12月26日)
ランサムウェア攻撃者グループ「LockBit」の摘発の影響と今後
(2024年12月25日)