Hive、LockBit、BlackCatの3つのランサムウェアグループが、同一のネットワークを連続で攻撃
- 2022年09月26日 13:30:00
- マネー
- Dream News
- コメント
<<報道資料>>
ソフォス株式会社
Hive、LockBit、BlackCatの3つのランサムウェアグループが、同一のネットワークを連続で攻撃
~標的となった組織はファイルを三重に暗号化され、3通の身代金メモが送り付けられる~
次世代サイバーセキュリティのグローバルリーダー企業であるソフォス株式会社(東京都港区 代表取締役 中西 智行)は本日、「複数の攻撃者:明確に差し迫った脅威」と題されたSophos X-Opsが発行したアクティブアドバーサリに関するホワイトペーパーの中で、Hive、LockBit(およびBlackCatの3つ有名なランサムウェアグループが同じネットワークを連続で攻撃した事例を報告しました。最初の2回の攻撃は2時間以内に、3回目の攻撃は2週間後に行われました。それぞれのランサムウェアグループが身代金メモを残し、一部のファイルは三重に暗号化されていました。
ソフォスのシニアセキュリティアドバイザーであるJohn Shierは次のように述べています。「1件のランサムウェア攻撃に対処するだけでも十分大変であり、3件の異なる攻撃を受ける影響がどれほど過酷か容易に想像できるでしょう。特に、ネットワークにあるファイルが複数の攻撃者によって三重に暗号化されている場合、復旧は極めて困難になります。予防、検知、対応という包括的なサイバーセキュリティ対策が、あらゆる規模や業種の組織にとって重要になっています。いかなる企業も攻撃と無縁ではありません」
このホワイトペーパーではさらに、複数のサイバー攻撃が同時に発生した他の事例も紹介しています。中には、クリプトマイナー、リモートアクセス型のトロイの木馬(RAT)、ボットなどによる攻撃が発生した事例も報告されています。複数の攻撃者が同一のシステムを標的とした過去の事例では、攻撃は通常、何か月あるいは何年にもわたって行われていました。今回ソフォスのホワイトペーパーで紹介された攻撃は、数日から数週間の短期間に連続して発生しており、中には攻撃が同時に発生したケースもありました。多くの場合、異なる攻撃者が脆弱な同じ侵入口を通じて標的のネットワークにアクセスしていました。
サイバー犯罪組織は競合することが多く、複数の攻撃者が同時に活動することは困難になっています。クリプトマイナーは通常、同じシステムに競合が存在している場合にはそのクリプトマイナーを停止します。また、最近のRATは、ボットを停止する機能を備えていることを頻繁に犯罪フォーラムで強調しています。しかし、3つのランサムウェアグループが関与した今回の攻撃では、最後に登場したBlackCatは、自身の活動の痕跡だけでなく、LockBitとHiveの活動の痕跡も削除しました。また、あるシステムがLockBitランサムウェアに感染した事例では、約3か月後に、Contiとの関係が指摘されているKarakurt Teamのメンバーが、LockBitが作成したバックドアを利用してデータを盗み出し、身代金を要求しました。
Shierは次のように述べています。「全体的に、ランサムウェアグループは表立って敵対しているようには見えません。ソフォスのホワイトペーパーで説明されているように、LockBitは実際、アフィリエイトがLockBitと競合するグループと協力することを明確には禁じていません。ランサムウェアグループ間で協力し合っているという明確な証拠はありませんが、もしこれが事実であれば、競争が激化するサイバー犯罪市場において、攻撃のためのリソースが有限であることを攻撃者が認識した帰結である可能性もあります。あるいは、標的に与えるプレッシャーが大きいほど、つまり攻撃を繰り返し仕掛けるほど、標的が身代金を支払う可能性が高くなると考えている可能性があります。グループの上層部が談合し、一方のグループがデータを暗号化し、もう一方のグループがデータを窃取するというような互恵的な関係について合意に達しているのかもしれません。いずれ、これらのグループは協力関係をさらに強化するのか、それともより競争を激化させるのかを選択しなければならないでしょう。しかし、現在は異なるグループが同じ標的に繰り返し攻撃を行う環境が整っています」
このホワイトペーパーで取り上げられた攻撃では、最初の感染のほとんどは Log4Shell、ProxyLogon、およびProxyShellなどのパッチが適用されていない脆弱性、あるいは構成が不正であり安全が確保されていないRDP(リモートデスクトッププロトコル)サーバーを通じて発生しています。複数の攻撃者が関与した多くの事例では、被害を受けた組織が最初の攻撃を適切に修正することができず、サイバー犯罪に悪用される侵入口が開かれたままになっていました。このような事例では、RDPの全く同じ設定ミスや、RDWebやAnyDeskなどのアプリケーションが、二度目以降の攻撃で侵入口として簡単に悪用されていました。実際、脆弱なRDPやVPNサーバーのリストは、ダークウェブで販売されている商品の中でも、最も人気のある出品物の1つです。
Shierは次のように述べています。「最新のアクティブアドバーサリープレイブックに記載されているように、2021年にソフォスは組織が複数の攻撃を同時に受ける事例を初めて確認し、このような攻撃が拡大する可能性について指摘しました。複数の攻撃者が協力するインシデントの増加はまだ十分な事例に基づいて証明されているわけではありませんが、攻撃が可能なシステムが存在する以上、サイバー犯罪者がこのような攻撃を今後発展させる可能性は十分にあるでしょう。」
同時多発型のサイバー攻撃や、このような攻撃からシステムを保護するための実用的なアドバイスの詳細については、Sophos.comでホワイトペーパー「複数の攻撃者:明確に差し迫った脅威」(https://news.sophos.com/ja-jp/2022/08/09/multiple-attackers-increase-pressure-on-victims-complicate-incident-response-jp/)を参照してください。
●その他の参考情報
・Sophos X-Opsのブログ(https://news.sophos.com/ja-jp/)をサブスクライブし、TwitterでSophos X-Ops(https://twitter.com/sophosxops)をフォローして、Sophos X-Opsと画期的な脅威リサーチ(https://news.sophos.com/ja-jp/2022/07/20/behind-the-research-the-making-of-ooda-x-ops-takes-on-burgeoning-sql-server-attacks-jp/)の詳細を確認してください。
・同一ネットワークを標的とする複数の攻撃者(https://news.sophos.com/ja-jp/2022/06/22/active-adversary-playbook-2022-insights-web-shells-jp/):ソフォスのBlackCatレポートでは、いくつかの攻撃が同時にまたは重複して実施されていること、また、同じサイバー攻撃者によっていくつかの異なる攻撃が2回行われていることが明らかになりました。
https://news.sophos.com/ja-jp/2022/07/14/blackcat-ransomware-attacks-not-merely-a-byproduct-of-bad-luck-jp/
・攻撃者の滞留時間や 新たな戦術、手法、手順(TTP)についての知見をまとめたソフォスの 「アクティブアドバーサリープレイブック2022」
https://news.sophos.com/ja-jp/2022/06/07/active-adversary-playbook-2022-jp/
・ヘルスケア、政府機関、教育、などの業界におけるランサムウェアの世界的な拡散状況とその影響についてまとめた「ランサムウェアの現状2022年版」
https://www.sophos.com/ja-jp/content/state-of-ransomware
・名前別にランサムウェアの詳細を確認できるランサムウェア脅威インテリジェンスセンター
https://news.sophos.com/ja-jp/2022/03/17/the-ransomware-threat-intelligence-center-jp/
●ソフォスについて
ソフォスは、次世代型サイバーセキュリティにおいて世界をリードする企業として世界 150ヶ国以上、50万社を超える組織と数百万のコンシューマ消費者を今日の高度なサイバー脅威から保護します。ソフォスは、SophosLabs と Sophos AI からの脅威インテリジェンス機能、AI、機械学習を活用して、ユーザー、ネットワーク、エンドポイントをランサムウェア、マルウェア、エクスプロイト、フィッシング、その他さまざまなサイバー攻撃から保護するために高度な製品やサービスの幅広いポートフォリオを提供します。ソフォスは、単一の統合されたクラウドベース管理コンソールである Sophos Central を提供します。これは、適応型サイバーセキュリティエコシステムの中心的存在であり、お客様、パートナー、開発者、その他のサイバーセキュリティベンダーが利用できる豊富なオープン API のセットを活用した一元化されたデータレイクを備えています。ソフォスは、リセラーパートナー、MSP (マネージド サービス プロバイダ) を通じてソフォス製品とサービスを販売しています。ソフォス本社は英国オックスフォードにあります。詳細については www.sophos.com (日本語サイト:https://www.sophos.com/ja-jp.aspx )をご覧ください。
●報道関係のお問合せ先
ソフォス株式会社広報事務局
Tel: 03-6454-6930
Email: sophos@ambilogue.com
以上
配信元企業:ソフォス株式会社
プレスリリース詳細へ
ドリームニューストップへ
石丸伸二氏「テレ朝、絶対許さん」都知事選後のインタビューの編集巡り「怒り心頭」もX賛否両論
「鍵盤界の峰不二子」がTBS名物番組3年担当し卒業「朝と夜のギャップ素敵」など感謝の声続々
小嶋陽菜プロデュースのランジェリーブランド、天然由来成分100%の新アイテム
矢作兼が告白「M-1審査員」の人選に違和感のワケ「何で山田邦子さん外すんだよ、いた方が」
カンニング竹山「今夜は、、、飲む」亡き相方中島忠幸さんを追悼「あれから18年の月日が流れた」
粗品が「M-1審査員」に言及、実名挙げ「波乱含むかも」せいや「100点ありそう」激推し
50歳ふかわりょうが芸歴30周年記念トークライブを1・26開催、YOUとバカリズムがゲスト
夜景だけじゃない 室蘭は太陽に照らされる工場夕景がとてもきれい/滝谷美夢のみゆダイアリー
新NISAは申告不要?株式を売却した際に必要な手続きとは
【日本ハム】清宮幸太郎、新メンバー探します!「清宮フレンズ」“戦力補強”「先輩でも後輩でも」
高橋ジョージ「やっぱりお縄だよ」新曲の印税引き出したら銀行の態度が…その後に残高見て仰天
「普通は即死」渡辺香津美、危篤状態から在宅療養に 妻「生きていてさえくれれば…」
粗品がバッサリ「おじさんパーカー騒動」の27歳女性脚本家を“ひと言”で介錯
上沼恵美子に「番組ナメてはりません?」ブチ切れされた大物俳優が「君は…」
北九州中学生2人死傷 近くに住む40代男性を殺人未遂容疑で逮捕
さらば・森田、『ラヴィット』で放送禁止用語の大失言!麒麟・川島が即謝罪もブチ切れ
中川翔子「加害者を守る必要なんかない」 北九州・中学生殺傷事件では容疑者報道めぐり物議
特殊捜査係20人が窓ガラス割り突入、容疑者確保 中学生2人殺傷
二宮和也、45歳女性タレントに打ち合わせでの悪い態度を暴露され「何であいつ来るんだよ」恨み節
ベラルーシで日本人2人目の拘束 日本大使館が現地報道を事実と確認
多部未華子(30)結婚の裏事情あまりにも恐ろしすぎると話題に!
浜崎あゆみ、バスト丸見えの投稿にネット騒然「巨乳すぎて不自然」
二階堂ふみが結婚!?お相手が衝撃的過ぎてネット民「マジか・・・」
中山美穂さんが“一番心を許していた親友”は男性芸人「つらすぎるけど泣かないように頑張ります」
高橋ジョージ「やっぱりお縄だよ」新曲の印税引き出したら銀行の態度が…その後に残高見て仰天
千円札に込めた奇跡!明石家さんまが30年間大切にした「ラブレター」に感涙
クロちゃんを騙した「レイちゃま(小林レイミ)」の現在が別人すぎると話題に
飯島直子「いつみんなに言おうか…」別れを報告「お空へ旅立ちました」
まるで別人?浜崎あゆみのFNS歌謡祭での姿に驚きの声
54歳急死の中山美穂さん自宅に妹、中山忍の姿 報道陣に深々と頭下げる
石丸伸二氏「テレ朝、絶対許さん」都知事選後のインタビューの編集巡り「怒り心頭」もX賛否両論
「鍵盤界の峰不二子」がTBS名物番組3年担当し卒業「朝と夜のギャップ素敵」など感謝の声続々
小嶋陽菜プロデュースのランジェリーブランド、天然由来成分100%の新アイテム
矢作兼が告白「M-1審査員」の人選に違和感のワケ「何で山田邦子さん外すんだよ、いた方が」
カンニング竹山「今夜は、、、飲む」亡き相方中島忠幸さんを追悼「あれから18年の月日が流れた」
粗品が「M-1審査員」に言及、実名挙げ「波乱含むかも」せいや「100点ありそう」激推し
50歳ふかわりょうが芸歴30周年記念トークライブを1・26開催、YOUとバカリズムがゲスト
夜景だけじゃない 室蘭は太陽に照らされる工場夕景がとてもきれい/滝谷美夢のみゆダイアリー
新NISAは申告不要?株式を売却した際に必要な手続きとは
【日本ハム】清宮幸太郎、新メンバー探します!「清宮フレンズ」“戦力補強”「先輩でも後輩でも」