サイバー犯罪フォーラムRAMPで犯罪者を募る投稿者Orange(上)
Orangeによって示唆されたBabukランサムウェア開発者Dyadka0220(下)
マカフィーは9月9日、ランサムウェア犯罪集団Grooveギャングに関する調査結果をMcAfee Blogにて発表した。
McAfee EnterpriseのAdvanced Threat Research(ATR)チームによるBabukランサムウェアファミリーに関して継続的に行なっている調査のフォローアップとして実施されたものという。
Grooveは比較的新しいRaaS(Ransomware as a Service)を用いて暗躍する犯罪集団で、Babukと関連しており、Babukの亜種またはサブグループと考えられていた。新たな調査結果では、Babukの閉鎖によって、Colonial Pipeline社やKaseya社への攻撃の影響で混乱した後にランサムウェア関連のサイバー犯罪者の一部がRAMPと呼ばれるフォーラムに居場所を見出したことを発見。
RAMPではColonial Pipeline攻撃以降、ランサムウェアを用いる犯罪者が広告を出すことを禁止しており、RaaSを用いた犯罪集団が信頼性を確立してアンダーグラウンドで現在のトップレベルの地位を維持することが困難になってきたという。
フォーラムRAMPでは、Orangeと呼ばれる投稿者が過去2年間に渡りGrooveギャングが産業スパイとして金銭的動機のある犯罪組織として活動しているとして協力を呼びかけ、身代金を稼ぐ能力だけで仲間の価値が決まるという新しい働き方を提供している。
McAfee ATRでは、Babukの閉鎖により、Grooveギャングは金銭的な利益がある限り、他の当事者と協力することを望んでおり、RaaSグループの類似性、進化するアンダーグラウンドなどから、BlackMatterとして知られる別のギャングと提携していると推測している。
