米国司法省 Europol 他 ロシア人ランサムウェア被疑者4名の検挙 (2025.02.11)
こんにちは、丸山満彦です。
米国司法省、Europol、日本の警察庁がロシア人ランサムウェア被疑者4名の検挙したことを発表していますね...
EU以外の警察では、スイス、米国、英国、日本、シンガポール、タイなどの警察も協力していますね...
発表時間順?(時差があるので正確な順番はわかりません)に...
米国
● U.S. Department of Justice
・2025.02.10 Phobos Ransomware Affiliates Arrested in Coordinated International Disruption
| Phobos Ransomware Affiliates Arrested in Coordinated International Disruption | Phobosランサムウェアの関係者が国際的な混乱に乗じて逮捕される |
| Note: View the superseding indictment here. | 注:起訴状はこちらで閲覧できる。 |
| The Justice Department today unsealed criminal charges against Roman Berezhnoy, 33, and Egor Nikolaevich Glebov, 39, both Russian nationals, who allegedly operated a cybercrime group using the Phobos ransomware that victimized more than 1,000 public and private entities in the United States and around the world and received over $16 million in ransom payments. Berezhnoy and Glebov were arrested this week as part of a coordinated international disruption of their organization, which includes additional arrests and the technical disruption of the group’s computer infrastructure. | 司法省は本日、米国および全世界で1,000以上の公共および民間事業体を被害者とし、1,600万ドル以上の身代金の支払いを受けたPhobosランサムウェアを使用するサイバー犯罪グループを運営していたとされるロシア国籍のRoman Berezhnoy(33歳)とEgor Nikolaevich Glebov(39歳)に対する刑事告発を公開した。ベレジノイとグレボフは今週、追加逮捕とグループのコンピューター・インフラの技術的破壊を含む、彼らの組織に対する協調的な国際的破壊の一環として逮捕された。 |
| From May 2019, through at least October 2024, Berezhnoy, Glebov, and others allegedly caused victims to suffer losses resulting from the loss of access to their data in addition to the financial losses associated with the ransomware payments. The victims included a children’s hospital, health care providers, and educational institutions. | 2019年5月から少なくとも2024年10月にかけて、ベレジノイ、グレボフらは、ランサムウェアの支払いに伴う金銭的損失に加え、データへのアクセス不能による損失を被害者に与えたとされる。被害者には、小児病院、医療プロバイダ、教育機構などが含まれていた。 |
| According to court documents, Berezhnoy, Glebov, and others operated a ransomware affiliate organization, including under the names "8Base" and "Affiliate 2803," among others, that victimized public and private entities through the deployment of Phobos ransomware. | 法廷文書によると、ベレジノイ、グレボフらは、「8Base」や「Affiliate 2803」などの名前でランサムウェアの関連組織を運営し、ランサムウェア「Phobos」の展開を通じて公共および民間の事業体を被害者にしていた。 |
| As part of the scheme, Berezhnoy, Glebov, and others allegedly hacked into victim computer networks, copied and stole files and programs on the victims' network, and encrypted the original versions of the stolen data with Phobos ransomware. The conspirators then allegedly extorted the victims for ransom payments in exchange for the decryption keys to regain access to the encrypted data by, among other things, leaving a ransom note on compromised victim computers and separately reaching out to victims to initiate ransom payment negotiations. | この計画の一環として、ベレジノイ、グレボフらは被害者のコンピューター・ネットワークにハッキングし、被害者のネットワーク上のファイルやプログラムをコピーして盗み、盗んだデータのオリジナル・バージョンをPhobosランサムウェアで暗号化したとされる。その後、共謀者らは、侵害された被害者のコンピュータに身代金のメモを残したり、身代金の支払い交渉を開始するために被害者に個別に連絡を取ったりするなどして、暗号化されたデータへのアクセスを取り戻すための復号鍵と引き換えに身代金の支払いを被害者に強要したとされる。 |
| As alleged, the conspirators also threatened to expose victims’ stolen files to the public or to the victims’ clients, customers, or constituents if the ransoms were not paid. The conspirators are further alleged to have established and operated a darknet website where they repeated their extortionate threats and ultimately published the stolen data if a victim failed to pay the ransom. | また、共謀者たちは、身代金が支払われなければ、被害者の盗まれたファイルを公衆に、あるいは被害者のクライアント、顧客、有権者に公開すると脅迫した。さらに共謀者たちは、ダークネットのウェブサイトを開設・運営し、そこで恐喝まがいの脅しを繰り返し、被害者が身代金を支払わなかった場合には、最終的に盗まれたデータを公開したとされている。 |
| After a successful Phobos ransomware attack, criminal affiliates paid fees to Phobos administrators for a decryption key to regain access to the encrypted files. Each deployment of Phobos ransomware was assigned a unique alphanumeric string in order to match it to the corresponding decryption key, and each affiliate was directed to pay the decryption key fee to a cryptocurrency wallet unique to that affiliate. | Phobosランサムウェア攻撃が成功した後、犯罪関連会社は暗号化されたファイルへのアクセスを取り戻すための復号化キーの料金をPhobos管理者に支払った。Phobosランサムウェアの各展開には、対応する復号化キーと照合するために固有の英数字文字列が割り当てられ、各アフィリエイトは、そのアフィリエートに固有の暗号通貨ウォレットに復号化キーの料金を支払うよう指示されていた。 |
| The charges unsealed today against Berezhnoy and Glebov follow the recent arrest and extradition of Evgenii Ptitsyn, a Russian national, on charges relating to his alleged administration of the Phobos ransomware variant. | BerezhnoyとGlebovに対する本日公開された告発は、Phobosランサムウェア亜種の管理疑惑に関する告発で、ロシア国籍のEvgenii Ptitsynが最近逮捕され引き渡されたことに続くものだ。 |
| In parallel with this week’s arrests, Europol and German authorities have announced an international operation involving the FBI and other international law enforcement partners to disrupt over 100 servers associated with this criminal network. | 今週の逮捕と並行して、欧州刑事警察機構とドイツ当局は、この犯罪ネットワークに関連する100以上のサーバーを破壊するために、FBIやその他の国際的な法執行パートナーが関与する国際的な作戦を発表した。 |
| Berezhnoy and Glebov are charged in an 11-count indictment with one count of wire fraud conspiracy, one count of wire fraud, one count of conspiracy to commit computer fraud and abuse, three counts of causing intentional damage to protected computers, three counts of extortion in relation to damage to a protected computer, one count of transmitting a threat to impair the confidentiality of stolen data, and one count of unauthorized access and obtaining information from a protected computer. If convicted, Berezhnoy and Glebov face a maximum penalty of 20 years in prison on each wire fraud-related count; 10 years in prison on each computer damage count; and five years in prison on each of the other counts. A federal district court judge will determine any sentence after considering the U.S. Sentencing Guidelines and other statutory factors. | ベレジノイとグレボフは、11件の起訴状で、電信詐欺共謀罪1件、電信詐欺罪1件、コンピューター詐欺・悪用共謀罪1件、保護されたコンピューターに故意に損害を与えた罪3件、保護されたコンピューターへの損害に関連した恐喝罪3件、盗まれたデータの機密性を損なう脅迫を送信した罪1件、保護されたコンピューターへの不正アクセス・情報入手罪1件で起訴されている。有罪判決を受けた場合、ベレジノイ被告とグレボフ被告は、電信詐欺に関連する各訴訟で最高懲役20年、コンピューター損害に関連する各訴訟で最高懲役10年、その他の各訴訟で最高懲役5年の刑に処せられる。連邦地裁判事は、米国量刑ガイドラインおよびその他の法定要素を考慮した上で、判決を決定する。 |
| Supervisory Official Antoinette T. Bacon of the Justice Department’s Criminal Division, U.S. Attorney Erek L. Barron for the District of Maryland, Assistant Director Bryan Vorndran of the FBI’s Cyber Division, and Special Agent in Charge William J. DelBagno of the FBI Baltimore Field Office made the announcement. | 司法省刑事局のアントワネット・T・ベーコン監督官、メリーランド州地区担当のエレク・L・バロン連邦検事、FBIサイバー課のブライアン・ボルドラン課長補佐、FBIボルチモア支局のウィリアム・J・デルバーニョ特別捜査官が発表した。 |
| The FBI Baltimore Field Office is investigating the case. The Justice Department extends its thanks to international judicial and law enforcement partners in the United Kingdom, Germany, Japan, Spain, Belgium, Poland, Czech Republic, France, Thailand, Finland, Switzerland, and Romania, as well as Europol and the U.S. Department of Defense Cyber Crime Center, for their cooperation and coordination with the Phobos ransomware investigation. The National Security Division’s National Security Cyber Section and the Justice Department’s Office of International Affairs also provided valuable assistance. | FBIボルチモア支局がこの事件を捜査している。司法省は、英国、ドイツ、日本、スペイン、ベルギー、ポーランド、チェコ共和国、フランス、タイ、フィンランド、スイス、ルーマニアの国際司法・法執行パートナー、欧州刑事警察機構および米国防総省サイバー犯罪センターのフォボス・ランサムウェア捜査への協力と連携に謝意を表明する。また、ディビジョンの国家安全保障サイバー課と司法省国際局も貴重な支援を提供した。 |
| Senior Counsel Aarash A. Haghighat of the Criminal Division’s Computer Crime and Intellectual Property Section (CCIPS) and Assistant U.S. Attorney Thomas M. Sullivan for the District of Maryland are prosecuting the case. Former CCIPS Trial Attorney Riane Harper and former Assistant U.S. Attorneys Aaron S.J. Zelinsky and Jeffrey J. Izant for the District of Maryland provided substantial assistance. | ディビジョン刑事部コンピューター犯罪・知的財産課(CCIPS)のアーラシュ・A・ハギガット上級弁護士とメリーランド州のトーマス・M・サリバン連邦検事補がこの事件を起訴している。元CCIPS法廷弁護士のリアン・ハーパーと、メリーランド地区担当の元米国検事補アーロン・S・J・ゼリンスキーとジェフリー・J・イザントが多大な支援を提供した。 |
| Additional details on protecting networks against Phobos ransomware are available at StopRansomware.gov, including Cybersecurity and Infrastructure Security Agency Advisory AA24-060A. | Phobosランサムウェアに対するネットワークの防御に関する詳細は、StopRansomware.gov(サイバーセキュリティ・インフラセキュリティ庁勧告AA24-060Aを含む)で入手できる。 |
| An indictment is merely an allegation. All defendants are presumed innocent until proven guilty beyond a reasonable doubt in a court of law. | 起訴は単なる申し立てに過ぎない。法廷で合理的な疑いを超えて有罪が証明されるまでは、すべての被告人は無罪と推定される。 |
| Updated February 12, 2025 | 2025年2月12日更新 |
起訴状...
● Europol
・2025.02.11 Key figures behind Phobos and 8Base ransomware arrested in international cybercrime crackdown
| Key figures behind Phobos and 8Base ransomware arrested in international cybercrime crackdown | 国際的なサイバー犯罪の取り締まりでPhobosと8Baseランサムウェアの主要人物が逮捕される |
| Threat intelligence identifies Phobos and 8Base as among the most active ransomware groups of 2024 | 脅威情報により、Phobosと8Baseが2024年に最も活発なランサムウェア・グループのひとつであることが特定された。 |
| A coordinated international law enforcement action last week has led to the arrest of four individuals leading the 8Base ransomware group. These individuals, all Russian nationals, are suspected of deploying a variant of Phobos ransomware to extort high-value payments from victims across Europe and beyond. At the same time, 27 servers linked to the criminal network were taken down.< | 先週、国際的な法執行機関の協調行動により、8Baseランサムウェア・グループを率いる4人が逮捕された。これらの人物はすべてロシア国籍で、Phobosランサムウェアの亜種を展開し、ヨーロッパ全土および世界各地の被害者から高額な支払いを強要した疑いが持たれている。同時に、この犯罪ネットワークに関連する27のサーバーがダウンさせられた。 |
| This follows a series of high-impact arrests targeting Phobos ransomware: | これは、Phobosランサムウェアを標的とした一連のインパクトのある逮捕に続くものである: |
| ・An administrator of Phobos was arrested in South Korea in June 2024 and extradited to the United States in November of the same year. He is now facing prosecution for orchestrating ransomware attacks that encrypted critical infrastructure, business systems, and personal data for ransom. | ・Phobosの管理者は2024年6月に韓国で逮捕され、同年11月に米国に送還された。彼は現在、重要インフラ、業務システム、個人データを暗号化して身代金を要求するランサムウェア攻撃を指揮した容疑で起訴されている。 |
| ・A key Phobos affiliate was arrested in Italy in 2023 on a French arrest warrant, further weakening the network behind this ransomware strain. | ・2023年、Phobosの主要関係者がフランスの逮捕状によりイタリアで逮捕され、このランサムウェアの背後にあるネットワークはさらに弱体化した。 |
| As a result of this operation, law enforcement was also able to warn more than 400 companies worldwide of ongoing or imminent ransomware attacks. | この作戦の結果、法執行機関はまた、進行中または差し迫ったランサムウェア攻撃について、世界中の400以上の企業に警告することができた。 |
| This complex international operation, supported by Europol and Eurojust, involved law enforcement agencies from 14 countries. While some countries focused on the investigation into Phobos, others targeted 8Base, with several participating in both. | 欧州刑事警察機構と欧州司法機構の支援を受けたこの複雑な国際作戦には、14カ国の法執行機関が関与した。Phobosの捜査に集中した国もあれば、8Baseを標的にした国もあり、その両方に参加した国もあった。 |
| Europol played a critical role in bringing together intelligence from these separate investigations, enabling authorities to take down key actors from both ransomware networks in a coordinated effort. | 欧州刑事警察機構は、これらの別々の捜査から得られた情報をまとめる上で重要な役割を果たし、認可当局が協調して両方のランサムウェア・ネットワークの主要な関係者を逮捕することを可能にした。 |
| Phobos: A discreet but highly effective ransomware | Phobos: 目立たないが非常に効果的なランサムウェア |
| First detected in December 2018, Phobos ransomware has been a long-standing cybercrime tool, frequently used in large-scale attacks against businesses and organisations worldwide. Unlike high-profile ransomware groups that target major corporations, Phobos relies on high-volume attacks against small to medium-sized businesses, which often lack the cybersecurity defences to protect themselves. | 2018年12月に初めて検知されたPhobosランサムウェアは、長年のサイバー犯罪ツールであり、世界中の企業や組織に対する大規模な攻撃で頻繁に使用されている。大企業を標的にした有名なランサムウェアグループとは異なり、Phobosは中小企業に対する大量の攻撃に依存しており、中小企業は自らを守るサイバーセキュリティ防御を持たないことが多い。 |
| Its Ransomware-as-a-Service (RaaS) model has made it particularly accessible to a range of criminal actors, from individual affiliates to structured criminal groups such as 8Base. The adaptability of this framework has allowed attackers to customise their ransomware campaigns with minimal technical expertise, further fuelling its widespread use. | そのRansomware-as-a-Service(RaaS)モデルは、個人の関係者から8Baseのような組織化された犯罪グループまで、さまざまな犯罪行為者にとって特に利用しやすいものとなっている。この枠組みの適応性により、攻撃者は最小限の技術的専門知識でランサムウェアキャンペーンをカスタマイズできるようになり、さらにその普及に拍車をかけている。 |
| Taking advantage of Phobos’s infrastructure, 8Base developed its own variant of the ransomware, using its encryption and delivery mechanisms to tailor attacks for maximum impact. This group has been particularly aggressive in its double extortion tactics, not only encrypting victims' data but also threatening to publish stolen information unless a ransom was paid. | Phobosのインフラを利用して、8Baseは独自のランサムウェアの亜種を開発し、その暗号化と配信メカニズムを使用して、最大の影響を与えるように攻撃をカスタマイズした。このグループは、被害者のデータを暗号化するだけでなく、身代金を支払わなければ盗まれた情報を公開すると脅迫するなど、二重の恐喝戦術を特に積極的に行っている。 |
| Europol’s coordinating role | 欧州刑事警察機構の調整役 |
| With law enforcement efforts spanning multiple continents, Europol played a central role in connecting investigators and coordinating enforcement actions. Supporting the investigation since February 2019, Europol’s European Cybercrime Centre (EC3) has: | 法執行の取り組みが複数の大陸にまたがる中、欧州刑事警察機構は捜査官をつなぎ、執行行動を調整する上で中心的な役割を果たした。2019年2月以来、欧州刑事警察機構(EC3)の欧州サイバー犯罪センター(EC3)は捜査を支援している: |
| Brought together intelligence from parallel investigations, ensuring that law enforcement authorities targeting Phobos and 8Base could pool their findings and coordinate arrests efficiently. | Phobosと8Baseを標的とする法執行当局が調査結果を共有し、逮捕を効率的に調整できるよう、並行捜査の情報をまとめた。 |
| Organised 37 operational meetings and technical sprints to develop key investigative leads. | 37回の作戦会議と技術スプリントを開催し、主要な捜査手がかりを開発した。 |
| Provided analytical, crypto-tracing and forensic expertise to support the case. | 分析、暗号追跡、法医学の専門知識をプロバイダとして提供し、事件をサポートした。 |
| Facilitated intelligence exchange within the Joint Cybercrime Action Taskforce (J-CAT), hosted at its headquarters. | サイバー犯罪対策合同チーム(J-CAT)内の情報交換を促進し、本部でホストした。 |
| Exchanged nearly 600 operational messages via Europol’s secure SIENA network, making this one of EC3’s high-priority cases. | 欧州刑事警察機構(Europol)の安全なSIENAネットワークを通じて600件近い作戦メッセージを交換し、EC3の最優先案件のひとつとした。 |
| Eurojust organised two dedicated coordination meetings to assist with the cross-border judicial cooperation and provided support with outstanding requests of all authorities involved. | 欧州司法機構は、国境を越えた司法協力を支援するために2回の専用調整会議を開催し、すべての関係当局の未解決の要請に対するサポートを提供した。 |
| The following authorities took part in the investigation: | 以下の当局が捜査に参加した: |
| Belgium: Federal Police (Federale Politie / Police Fédérale) | ベルギー 連邦警察(Federale Politie / Police Fédérale) |
| Czechia: Police of the Czech Republic (Policie České republiky) | チェコ共和国:チェコ共和国警察(Policie České republiky) |
| France: Paris Cybercrime Unit (Brigade de lutte contre la cybercriminalité de Paris - BL2C), Court of Paris - National Jurisdiction Against Organised Crime (Juridiction Nationale de Lutte contre la Criminalité Organisée – JUNALCO) | フランス: パリ・サイバー犯罪対策ユニット(BL2C)、パリ裁判所(JUNALCO) |
| Germany: Bavarian State Criminal Police Office (Bayerisches Landeskriminalamt – LKA Bayern), Bavarian Central Office for the Prosecution of Cybercrime (Generalstaatsanwaltschaft Bamberg – Zentralstelle Cybecrime Bayern) | ドイツ: バイエルン州刑事局、バイエルン州サイバー犯罪検察中央局 |
| Japan: National Police Agency (警察庁) | 日本: 警察庁 |
| Poland: Central Cybercrime Bureau (Centralne Biuro Zwalczania Cyberprzestępczości) | ポーランド: 中央サイバー犯罪局 |
| Romania: Romanian Police (Poliția Română) | ルーマニア: ルーマニア警察 |
| Singapore: Singapore Police Force CyberCrime Command | シンガポール: シンガポール警察サイバー犯罪対策本部 |
| Spain: Guardia Civil | スペイン: Guardia Civil |
| Sweden: Swedish Police Authority (Polisen) | スウェーデン: スウェーデン警察当局 (Polisen) |
| Switzerland: Office of the Attorney General of Switzerland (OAG), Federal Police (fedpol) | スイス: スイス: スイス司法長官事務所(OAG)、連邦警察(fedpol) |
| Thailand: Cyber Crime Investigation Bureau (CCIB) | タイ: サイバー犯罪捜査局(CCIB) |
| United Kingdom: National Crime Agency (NCA) | 英国 National Crime Agency (NCA) |
| United States: US Department of Justice (US DOJ), Federal Bureau of Investigation (FBI – Baltimore Field Office), US Department of Defense Cyber Crime Center (DC3) | 米国: 米国司法省(US DOJ)、連邦捜査局(FBI-ボルチモア支局)、国防総省サイバー犯罪センター(DC3) |
● 警察庁
・2024.02.12 ロシア人ランサムウェア被疑者4名の検挙に関するユーロポールのプレスリリースについて
報道発表資料の概要
ユーロポールは、欧州を含む世界各国の企業等に対しランサムウェア被害を与えたなどとして、ランサムウェア攻撃グループ「8Base」の一員とみられる被疑者4名を外国捜査機関が検挙するとともに、関連犯罪インフラのテイクダウンを行った旨をプレスリリースしました。
同プレスリリースにおいては、関係各国で関連するランサムウェア事案の捜査を行っており、当該捜査について、日本警察を含む各国捜査機関等の国際協力が言及されています。
日本警察は、我が国で発生したランサムウェア事案について、外国捜査機関とも連携して捜査を推進し、捜査で得た情報を外国捜査機関に提供し、被疑者の検挙に貢献しています。
Comments