Hive、LockBit、BlackCatの3つのランサムウェアグループが、同一のネットワークを連続で攻撃
- 2022年09月26日 13:30:00
- マネー
- Dream News
- コメント
<<報道資料>>
ソフォス株式会社
Hive、LockBit、BlackCatの3つのランサムウェアグループが、同一のネットワークを連続で攻撃
~標的となった組織はファイルを三重に暗号化され、3通の身代金メモが送り付けられる~
次世代サイバーセキュリティのグローバルリーダー企業であるソフォス株式会社(東京都港区 代表取締役 中西 智行)は本日、「複数の攻撃者:明確に差し迫った脅威」と題されたSophos X-Opsが発行したアクティブアドバーサリに関するホワイトペーパーの中で、Hive、LockBit(およびBlackCatの3つ有名なランサムウェアグループが同じネットワークを連続で攻撃した事例を報告しました。最初の2回の攻撃は2時間以内に、3回目の攻撃は2週間後に行われました。それぞれのランサムウェアグループが身代金メモを残し、一部のファイルは三重に暗号化されていました。
ソフォスのシニアセキュリティアドバイザーであるJohn Shierは次のように述べています。「1件のランサムウェア攻撃に対処するだけでも十分大変であり、3件の異なる攻撃を受ける影響がどれほど過酷か容易に想像できるでしょう。特に、ネットワークにあるファイルが複数の攻撃者によって三重に暗号化されている場合、復旧は極めて困難になります。予防、検知、対応という包括的なサイバーセキュリティ対策が、あらゆる規模や業種の組織にとって重要になっています。いかなる企業も攻撃と無縁ではありません」
このホワイトペーパーではさらに、複数のサイバー攻撃が同時に発生した他の事例も紹介しています。中には、クリプトマイナー、リモートアクセス型のトロイの木馬(RAT)、ボットなどによる攻撃が発生した事例も報告されています。複数の攻撃者が同一のシステムを標的とした過去の事例では、攻撃は通常、何か月あるいは何年にもわたって行われていました。今回ソフォスのホワイトペーパーで紹介された攻撃は、数日から数週間の短期間に連続して発生しており、中には攻撃が同時に発生したケースもありました。多くの場合、異なる攻撃者が脆弱な同じ侵入口を通じて標的のネットワークにアクセスしていました。
サイバー犯罪組織は競合することが多く、複数の攻撃者が同時に活動することは困難になっています。クリプトマイナーは通常、同じシステムに競合が存在している場合にはそのクリプトマイナーを停止します。また、最近のRATは、ボットを停止する機能を備えていることを頻繁に犯罪フォーラムで強調しています。しかし、3つのランサムウェアグループが関与した今回の攻撃では、最後に登場したBlackCatは、自身の活動の痕跡だけでなく、LockBitとHiveの活動の痕跡も削除しました。また、あるシステムがLockBitランサムウェアに感染した事例では、約3か月後に、Contiとの関係が指摘されているKarakurt Teamのメンバーが、LockBitが作成したバックドアを利用してデータを盗み出し、身代金を要求しました。
Shierは次のように述べています。「全体的に、ランサムウェアグループは表立って敵対しているようには見えません。ソフォスのホワイトペーパーで説明されているように、LockBitは実際、アフィリエイトがLockBitと競合するグループと協力することを明確には禁じていません。ランサムウェアグループ間で協力し合っているという明確な証拠はありませんが、もしこれが事実であれば、競争が激化するサイバー犯罪市場において、攻撃のためのリソースが有限であることを攻撃者が認識した帰結である可能性もあります。あるいは、標的に与えるプレッシャーが大きいほど、つまり攻撃を繰り返し仕掛けるほど、標的が身代金を支払う可能性が高くなると考えている可能性があります。グループの上層部が談合し、一方のグループがデータを暗号化し、もう一方のグループがデータを窃取するというような互恵的な関係について合意に達しているのかもしれません。いずれ、これらのグループは協力関係をさらに強化するのか、それともより競争を激化させるのかを選択しなければならないでしょう。しかし、現在は異なるグループが同じ標的に繰り返し攻撃を行う環境が整っています」
このホワイトペーパーで取り上げられた攻撃では、最初の感染のほとんどは Log4Shell、ProxyLogon、およびProxyShellなどのパッチが適用されていない脆弱性、あるいは構成が不正であり安全が確保されていないRDP(リモートデスクトッププロトコル)サーバーを通じて発生しています。複数の攻撃者が関与した多くの事例では、被害を受けた組織が最初の攻撃を適切に修正することができず、サイバー犯罪に悪用される侵入口が開かれたままになっていました。このような事例では、RDPの全く同じ設定ミスや、RDWebやAnyDeskなどのアプリケーションが、二度目以降の攻撃で侵入口として簡単に悪用されていました。実際、脆弱なRDPやVPNサーバーのリストは、ダークウェブで販売されている商品の中でも、最も人気のある出品物の1つです。
Shierは次のように述べています。「最新のアクティブアドバーサリープレイブックに記載されているように、2021年にソフォスは組織が複数の攻撃を同時に受ける事例を初めて確認し、このような攻撃が拡大する可能性について指摘しました。複数の攻撃者が協力するインシデントの増加はまだ十分な事例に基づいて証明されているわけではありませんが、攻撃が可能なシステムが存在する以上、サイバー犯罪者がこのような攻撃を今後発展させる可能性は十分にあるでしょう。」
同時多発型のサイバー攻撃や、このような攻撃からシステムを保護するための実用的なアドバイスの詳細については、Sophos.comでホワイトペーパー「複数の攻撃者:明確に差し迫った脅威」(https://news.sophos.com/ja-jp/2022/08/09/multiple-attackers-increase-pressure-on-victims-complicate-incident-response-jp/)を参照してください。
●その他の参考情報
・Sophos X-Opsのブログ(https://news.sophos.com/ja-jp/)をサブスクライブし、TwitterでSophos X-Ops(https://twitter.com/sophosxops)をフォローして、Sophos X-Opsと画期的な脅威リサーチ(https://news.sophos.com/ja-jp/2022/07/20/behind-the-research-the-making-of-ooda-x-ops-takes-on-burgeoning-sql-server-attacks-jp/)の詳細を確認してください。
・同一ネットワークを標的とする複数の攻撃者(https://news.sophos.com/ja-jp/2022/06/22/active-adversary-playbook-2022-insights-web-shells-jp/):ソフォスのBlackCatレポートでは、いくつかの攻撃が同時にまたは重複して実施されていること、また、同じサイバー攻撃者によっていくつかの異なる攻撃が2回行われていることが明らかになりました。
https://news.sophos.com/ja-jp/2022/07/14/blackcat-ransomware-attacks-not-merely-a-byproduct-of-bad-luck-jp/
・攻撃者の滞留時間や 新たな戦術、手法、手順(TTP)についての知見をまとめたソフォスの 「アクティブアドバーサリープレイブック2022」
https://news.sophos.com/ja-jp/2022/06/07/active-adversary-playbook-2022-jp/
・ヘルスケア、政府機関、教育、などの業界におけるランサムウェアの世界的な拡散状況とその影響についてまとめた「ランサムウェアの現状2022年版」
https://www.sophos.com/ja-jp/content/state-of-ransomware
・名前別にランサムウェアの詳細を確認できるランサムウェア脅威インテリジェンスセンター
https://news.sophos.com/ja-jp/2022/03/17/the-ransomware-threat-intelligence-center-jp/
●ソフォスについて
ソフォスは、次世代型サイバーセキュリティにおいて世界をリードする企業として世界 150ヶ国以上、50万社を超える組織と数百万のコンシューマ消費者を今日の高度なサイバー脅威から保護します。ソフォスは、SophosLabs と Sophos AI からの脅威インテリジェンス機能、AI、機械学習を活用して、ユーザー、ネットワーク、エンドポイントをランサムウェア、マルウェア、エクスプロイト、フィッシング、その他さまざまなサイバー攻撃から保護するために高度な製品やサービスの幅広いポートフォリオを提供します。ソフォスは、単一の統合されたクラウドベース管理コンソールである Sophos Central を提供します。これは、適応型サイバーセキュリティエコシステムの中心的存在であり、お客様、パートナー、開発者、その他のサイバーセキュリティベンダーが利用できる豊富なオープン API のセットを活用した一元化されたデータレイクを備えています。ソフォスは、リセラーパートナー、MSP (マネージド サービス プロバイダ) を通じてソフォス製品とサービスを販売しています。ソフォス本社は英国オックスフォードにあります。詳細については www.sophos.com (日本語サイト:https://www.sophos.com/ja-jp.aspx )をご覧ください。
●報道関係のお問合せ先
ソフォス株式会社広報事務局
Tel: 03-6454-6930
Email: sophos@ambilogue.com
以上
配信元企業:ソフォス株式会社
プレスリリース詳細へ
ドリームニューストップへ
Loading...
アクセスランキング
ドジャース・ロバーツ監督がゆりやんのネタを絶賛「アメリカでもウケるよ。素晴らしいコメディーだ」
【なでしこ】新主将長谷川唯が清水梨紗とロンドンで寿司デート「デニム姿かわいい」
浜田ブリトニー、パニック発作で救急搬送「息ができなくなって…」
滝沢カレンが第1子出産「この世界にこの私の目の前に、新しい家族が訪れました」
日向坂46河田陽菜が卒業発表 17年8月に当時16歳で加入 二期生は残り3人に
田中美奈子、球界レジェンドとジンギスカンでツーショットに反響「名コンビですね」
ミセス大森元貴が朝ドラ「あんぱん」登場「誰かになることも非常に興味深くて楽しかった」
ふなっしーに負けるな!船えもんが「大番頭」に昇進 千葉・船橋
山本由伸、高校球児に負けない快投 2年目で初2桁勝利、34度酷暑の中「投げられたのは自信」
Snow Man渡辺翔太、亀梨和也と共演実現「環境が変わっても関係性は変わらない」感謝語る
オードリー若林結婚で嫁の名前がソッコーで特定する動き始まる
37歳元モー娘。の黒ビキニ姿に衝撃「最高」「顔は少女で体やんちゃ」「ワガママボディ」コメ沸騰
三代目 J SOUL BROTHERS・今市隆二を書類送検、脅迫と暴行の疑い
二階堂ふみが結婚!?お相手が衝撃的過ぎてネット民「マジか・・・」
【ローソン】8月「お試し引換券」対象商品・注目商品全部見せ 7月の節約効果は1万3,600円
“元首相の孫”36歳女優、祖父と一緒に原宿歩くと道があく「普通のおじいちゃんじゃないんだ」
55歳石田ゆり子“驚きの起床時間”告白 加藤浩次思わず「何時に寝てるんですか?」
玉置浩二の妻、青田典子(53)の現在がとんでもない事になっていると話題に
「最悪のケースです」アイドル、119番通報も救急車出動せず男性死亡のニュースに心痛
三上悠亜が警告、開示請求「動いてます」「お金ないですって言うなら軽率な発言やめましょう」
二階堂ふみが結婚!?お相手が衝撃的過ぎてネット民「マジか・・・」
オードリー若林結婚で嫁の名前がソッコーで特定する動き始まる
再婚した旦那に不倫されてしまった飯島直子(51)衝撃的過ぎる黒歴史が発覚する事態に
【ネタバレ?】史実で見るキングダムの今後の展開まとめ〜中華統一までの全体像
平子理沙、すっぴん自撮りに疑問の声が続出「加工フィルター使ってる」
【おすすめアニメ50選】完結済み!定番から最新作まで!
ユーチューバーもこう氏、元彼女・成海瑠奈について赤裸々告白
ガーシー、みちょぱ反論に対抗で大倉士門の再暴露を投下「士門クズ過ぎる」
ゲーミングPCを買う場所は店舗購入とネット通販どっちがおすすめ?
女性の心肺蘇生した男性教授に「胸触った」と非難の声 車いすアイドル憂う「日本以外でも…」
Tips
おすすめ
ドジャース・ロバーツ監督がゆりやんのネタを絶賛「アメリカでもウケるよ。素晴らしいコメディーだ」
【なでしこ】新主将長谷川唯が清水梨紗とロンドンで寿司デート「デニム姿かわいい」
浜田ブリトニー、パニック発作で救急搬送「息ができなくなって…」
滝沢カレンが第1子出産「この世界にこの私の目の前に、新しい家族が訪れました」
日向坂46河田陽菜が卒業発表 17年8月に当時16歳で加入 二期生は残り3人に
田中美奈子、球界レジェンドとジンギスカンでツーショットに反響「名コンビですね」
ミセス大森元貴が朝ドラ「あんぱん」登場「誰かになることも非常に興味深くて楽しかった」
ふなっしーに負けるな!船えもんが「大番頭」に昇進 千葉・船橋
山本由伸、高校球児に負けない快投 2年目で初2桁勝利、34度酷暑の中「投げられたのは自信」
Snow Man渡辺翔太、亀梨和也と共演実現「環境が変わっても関係性は変わらない」感謝語る