ランサムウェア集団はスタートアップのように活動し、ときには開発した犯罪ソフトウェアのサブスクリプションサービスやソフトウェアの24時間サポートを提供しながら、攻撃を実行する“協力者”や実行部隊の募集までしている。このことから西側諸国の捜査当局は、ランサムウェア集団が使う脅迫戦術や心理ゲームをランサムウェア集団に対して利用するようになった。
例えば「Operation Cronos」では、ランサムウェアが活用するリークサイト風のカウントダウンタイマーを利用して、LockBitの幹部とされる31歳のロシア人であるドミトリー・ホロシェフの正体を暴いた。ホロシェフは米国の検察当局によって26件の罪で起訴され、制裁措置を受けている。
ホロシェフはロシアにいるとみられ、出国しない限りは逮捕される可能性は低い。それでも身元を明かすことで、ホロシェフに対する協力者たちの信頼を損ない、ホロシェフを標的にすることで彼によるランサムウェア攻撃をさらに妨害できる可能性がある。
「ホロシェフの財産を手に入れようと企む人はたくさんいます」と、Emsisoftのキャロウは言う。「彼の頭を強打して、国外の身柄引き渡しが可能な国まで引きずっていくことをいとわない人々もいるでしょう」
協力者たちはまた、ホロシェフが自発的にロシアを出国した場合に逮捕される可能性を懸念しているかもしれない。「捜査当局は協力者たちが築いた体制が脆弱であることを知らせようとしています」と、Recorded Futureのリスカは言う。
ランサムウェアを抑制する上でもうひとつの障害は、ヒドラのように再生する協力者たちの性質だ。アナリストはLockBitによる攻撃が妨害されると、ほとんどすぐに10個の新しいランサムウェアサイトの出現を確認した。「これは、これまでのあらゆる30日間という期間で確認された件数よりも多い数です」と、リスカは言う。
身代金の“支払い禁止”への期待も
捜査当局も、この現実に適応しつつある。5月には「Operation Endgame」と呼ばれる国際協力組織が、マルウェア「Dropper」を配布する複数の攻撃を阻止することに成功したと発表した。Dropperは、ハッカーがランサムウェアやその他の悪意あるコードを検知されずに配布することを可能にするうえで、サイバー犯罪のエコシステムにおいて重要な役割を担っている。
Operation Endgameでは、アルメニアとウクライナで4人が逮捕され、100以上のサーバーをダウンさせ、数千のドメインが押収された。この際には、犯罪者に「続きをお楽しみに(次の手を考えろ)」といったロシア語の言葉を含む目を引くビデオが公開されるカウントダウンタイマーなど、Operation Cronosに似た心理戦術が採用されていた。
ランサムウェア問題の規模があまりにも大きく、解決は難しいように思えるかもしれない。だが、リスカもキャロウも不可能ではないと言う。
Emsisoftのキャロウは、ランサムウェア集団への支払いを禁止することが最も大きな変化を生むだろうと語っている。支払い禁止のビジョンについてRecorded Futureのリスカはそれほど期待を示さなかったが、捜査当局の継続的な活動が最終的に大きな打撃をもたらす可能性があることを示唆した。
「ランサムウェア集団について語るとき、モグラ叩きの話がよく出ます。つまり、ある集団を倒すと別の集団が現れるということなのです」と、リスカは言う。「しかし、これらの(捜査当局による)活動は、ゲームボードを縮小しているのだと思います。確かに、ひとつを倒してもまた別のものが現れます。でも、うまくいけば出現する集団の数はどんどん少なくなるでしょう」