Hive、LockBit、BlackCatの3つのランサムウェアグループが、同一のネットワークを連続で攻撃
- 2022年09月26日 13:30:00
- マネー
- Dream News
- コメント
<<報道資料>>
ソフォス株式会社
Hive、LockBit、BlackCatの3つのランサムウェアグループが、同一のネットワークを連続で攻撃
~標的となった組織はファイルを三重に暗号化され、3通の身代金メモが送り付けられる~
次世代サイバーセキュリティのグローバルリーダー企業であるソフォス株式会社(東京都港区 代表取締役 中西 智行)は本日、「複数の攻撃者:明確に差し迫った脅威」と題されたSophos X-Opsが発行したアクティブアドバーサリに関するホワイトペーパーの中で、Hive、LockBit(およびBlackCatの3つ有名なランサムウェアグループが同じネットワークを連続で攻撃した事例を報告しました。最初の2回の攻撃は2時間以内に、3回目の攻撃は2週間後に行われました。それぞれのランサムウェアグループが身代金メモを残し、一部のファイルは三重に暗号化されていました。
ソフォスのシニアセキュリティアドバイザーであるJohn Shierは次のように述べています。「1件のランサムウェア攻撃に対処するだけでも十分大変であり、3件の異なる攻撃を受ける影響がどれほど過酷か容易に想像できるでしょう。特に、ネットワークにあるファイルが複数の攻撃者によって三重に暗号化されている場合、復旧は極めて困難になります。予防、検知、対応という包括的なサイバーセキュリティ対策が、あらゆる規模や業種の組織にとって重要になっています。いかなる企業も攻撃と無縁ではありません」
このホワイトペーパーではさらに、複数のサイバー攻撃が同時に発生した他の事例も紹介しています。中には、クリプトマイナー、リモートアクセス型のトロイの木馬(RAT)、ボットなどによる攻撃が発生した事例も報告されています。複数の攻撃者が同一のシステムを標的とした過去の事例では、攻撃は通常、何か月あるいは何年にもわたって行われていました。今回ソフォスのホワイトペーパーで紹介された攻撃は、数日から数週間の短期間に連続して発生しており、中には攻撃が同時に発生したケースもありました。多くの場合、異なる攻撃者が脆弱な同じ侵入口を通じて標的のネットワークにアクセスしていました。
サイバー犯罪組織は競合することが多く、複数の攻撃者が同時に活動することは困難になっています。クリプトマイナーは通常、同じシステムに競合が存在している場合にはそのクリプトマイナーを停止します。また、最近のRATは、ボットを停止する機能を備えていることを頻繁に犯罪フォーラムで強調しています。しかし、3つのランサムウェアグループが関与した今回の攻撃では、最後に登場したBlackCatは、自身の活動の痕跡だけでなく、LockBitとHiveの活動の痕跡も削除しました。また、あるシステムがLockBitランサムウェアに感染した事例では、約3か月後に、Contiとの関係が指摘されているKarakurt Teamのメンバーが、LockBitが作成したバックドアを利用してデータを盗み出し、身代金を要求しました。
Shierは次のように述べています。「全体的に、ランサムウェアグループは表立って敵対しているようには見えません。ソフォスのホワイトペーパーで説明されているように、LockBitは実際、アフィリエイトがLockBitと競合するグループと協力することを明確には禁じていません。ランサムウェアグループ間で協力し合っているという明確な証拠はありませんが、もしこれが事実であれば、競争が激化するサイバー犯罪市場において、攻撃のためのリソースが有限であることを攻撃者が認識した帰結である可能性もあります。あるいは、標的に与えるプレッシャーが大きいほど、つまり攻撃を繰り返し仕掛けるほど、標的が身代金を支払う可能性が高くなると考えている可能性があります。グループの上層部が談合し、一方のグループがデータを暗号化し、もう一方のグループがデータを窃取するというような互恵的な関係について合意に達しているのかもしれません。いずれ、これらのグループは協力関係をさらに強化するのか、それともより競争を激化させるのかを選択しなければならないでしょう。しかし、現在は異なるグループが同じ標的に繰り返し攻撃を行う環境が整っています」
このホワイトペーパーで取り上げられた攻撃では、最初の感染のほとんどは Log4Shell、ProxyLogon、およびProxyShellなどのパッチが適用されていない脆弱性、あるいは構成が不正であり安全が確保されていないRDP(リモートデスクトッププロトコル)サーバーを通じて発生しています。複数の攻撃者が関与した多くの事例では、被害を受けた組織が最初の攻撃を適切に修正することができず、サイバー犯罪に悪用される侵入口が開かれたままになっていました。このような事例では、RDPの全く同じ設定ミスや、RDWebやAnyDeskなどのアプリケーションが、二度目以降の攻撃で侵入口として簡単に悪用されていました。実際、脆弱なRDPやVPNサーバーのリストは、ダークウェブで販売されている商品の中でも、最も人気のある出品物の1つです。
Shierは次のように述べています。「最新のアクティブアドバーサリープレイブックに記載されているように、2021年にソフォスは組織が複数の攻撃を同時に受ける事例を初めて確認し、このような攻撃が拡大する可能性について指摘しました。複数の攻撃者が協力するインシデントの増加はまだ十分な事例に基づいて証明されているわけではありませんが、攻撃が可能なシステムが存在する以上、サイバー犯罪者がこのような攻撃を今後発展させる可能性は十分にあるでしょう。」
同時多発型のサイバー攻撃や、このような攻撃からシステムを保護するための実用的なアドバイスの詳細については、Sophos.comでホワイトペーパー「複数の攻撃者:明確に差し迫った脅威」(https://news.sophos.com/ja-jp/2022/08/09/multiple-attackers-increase-pressure-on-victims-complicate-incident-response-jp/)を参照してください。
●その他の参考情報
・Sophos X-Opsのブログ(https://news.sophos.com/ja-jp/)をサブスクライブし、TwitterでSophos X-Ops(https://twitter.com/sophosxops)をフォローして、Sophos X-Opsと画期的な脅威リサーチ(https://news.sophos.com/ja-jp/2022/07/20/behind-the-research-the-making-of-ooda-x-ops-takes-on-burgeoning-sql-server-attacks-jp/)の詳細を確認してください。
・同一ネットワークを標的とする複数の攻撃者(https://news.sophos.com/ja-jp/2022/06/22/active-adversary-playbook-2022-insights-web-shells-jp/):ソフォスのBlackCatレポートでは、いくつかの攻撃が同時にまたは重複して実施されていること、また、同じサイバー攻撃者によっていくつかの異なる攻撃が2回行われていることが明らかになりました。
https://news.sophos.com/ja-jp/2022/07/14/blackcat-ransomware-attacks-not-merely-a-byproduct-of-bad-luck-jp/
・攻撃者の滞留時間や 新たな戦術、手法、手順(TTP)についての知見をまとめたソフォスの 「アクティブアドバーサリープレイブック2022」
https://news.sophos.com/ja-jp/2022/06/07/active-adversary-playbook-2022-jp/
・ヘルスケア、政府機関、教育、などの業界におけるランサムウェアの世界的な拡散状況とその影響についてまとめた「ランサムウェアの現状2022年版」
https://www.sophos.com/ja-jp/content/state-of-ransomware
・名前別にランサムウェアの詳細を確認できるランサムウェア脅威インテリジェンスセンター
https://news.sophos.com/ja-jp/2022/03/17/the-ransomware-threat-intelligence-center-jp/
●ソフォスについて
ソフォスは、次世代型サイバーセキュリティにおいて世界をリードする企業として世界 150ヶ国以上、50万社を超える組織と数百万のコンシューマ消費者を今日の高度なサイバー脅威から保護します。ソフォスは、SophosLabs と Sophos AI からの脅威インテリジェンス機能、AI、機械学習を活用して、ユーザー、ネットワーク、エンドポイントをランサムウェア、マルウェア、エクスプロイト、フィッシング、その他さまざまなサイバー攻撃から保護するために高度な製品やサービスの幅広いポートフォリオを提供します。ソフォスは、単一の統合されたクラウドベース管理コンソールである Sophos Central を提供します。これは、適応型サイバーセキュリティエコシステムの中心的存在であり、お客様、パートナー、開発者、その他のサイバーセキュリティベンダーが利用できる豊富なオープン API のセットを活用した一元化されたデータレイクを備えています。ソフォスは、リセラーパートナー、MSP (マネージド サービス プロバイダ) を通じてソフォス製品とサービスを販売しています。ソフォス本社は英国オックスフォードにあります。詳細については www.sophos.com (日本語サイト:https://www.sophos.com/ja-jp.aspx )をご覧ください。
●報道関係のお問合せ先
ソフォス株式会社広報事務局
Tel: 03-6454-6930
Email: sophos@ambilogue.com
以上
配信元企業:ソフォス株式会社
プレスリリース詳細へ
ドリームニューストップへ
Loading...
アクセスランキング
「助けて下さい」バナナマン設楽統が体調不良でラジオ欠席 日村勇紀が緊急ゲストに懇願
ドジャース、開幕8連勝がストップ 山本由伸悪送球のミス、昨季1勝5敗のフィリーズに完敗
トム・クルーズ「シネマコン」でバル・キルマーさんに黙祷「次の旅路での幸運を」
SNS激動時代…今後の可能性を感じるSNSは結局、何?
トランプ氏、TikTok交渉75日間再延長 法律違反の可能性も
「あんぱん」第1週振り返り&来週予告 「ダイジェストも面白い」「また泣いた」ネットの声
大谷翔平、第3打席はチェンジアップに空振り三振 開幕8連勝のチームはリードを許して後半戦へ
【西武】驚異!高卒ドラ5の篠原響が球場ガンで自己最速「156」表示 打者54人に対していまだ
こいのぼりが川に……掲揚ロープの切断被害相次ぐ 群馬・館林
ひろゆき氏「教科書に載るレベルの不況になりそう」トランプ関税を巡る“恐怖指数”の上昇に言及
多部未華子(30)結婚の裏事情あまりにも恐ろしすぎると話題に!
中居正広氏、14年前に脳科学者が「女性におぼれて芸能界追放」と“予言” X騒然「すごい」
「中居正広」Xトレンド入り、第三者委員会の調査報告書にツッコミ殺到「こりゃ酷い」の声
二階堂ふみが結婚!?お相手が衝撃的過ぎてネット民「マジか・・・」
有吉弘行、「感謝祭」で永野芽郁に暴走突撃の江頭2:50について“たったひと言”で言及
「もう会えなくなるけど、こんな女がいたことも忘れないでね」ヒコロヒー“永久出禁”受け吐露
笠井信輔アナ、飲食店で隣席の女性に叱責され謝ったのに「自らのストレスを他人に向けて…」
伝説のロックバンドドラマー、中居正広氏めぐるテレビ番組報道に「ハッキリ言います!」
日清食品どん兵衛CM、「アンミカ起用」で不買運動の動き
中居正広氏「ひと段落かな」B氏「動きます」女性A退職時の文面公開されX「最悪」「ヘド出る」
多部未華子(30)結婚の裏事情あまりにも恐ろしすぎると話題に!
二階堂ふみが結婚!?お相手が衝撃的過ぎてネット民「マジか・・・」
堀江貴文氏、炎上ストリートピアノ騒動に“たった5文字”で反応しX賛同多数
中居正広氏、14年前に脳科学者が「女性におぼれて芸能界追放」と“予言” X騒然「すごい」
「中居正広」Xトレンド入り、第三者委員会の調査報告書にツッコミ殺到「こりゃ酷い」の声
楽しんご、銭湯での男性へのわいせつ行為で逮捕された中孝介容疑者に“8文字”でずばり私見
【おすすめアニメ50選】完結済み!定番から最新作まで!
万引き逮捕の米田哲也容疑者を「ご親族かどなたか助けてあげられないのか」紀藤正樹氏「悲しい」
堺正章が60歳タレントと“禁断の”共演「確かに昔干したよ」「本気でした」激白しスタジオ騒然
【ネタバレ?】史実で見るキングダムの今後の展開まとめ〜中華統一までの全体像
Tips
おすすめ
「助けて下さい」バナナマン設楽統が体調不良でラジオ欠席 日村勇紀が緊急ゲストに懇願
ドジャース、開幕8連勝がストップ 山本由伸悪送球のミス、昨季1勝5敗のフィリーズに完敗
トム・クルーズ「シネマコン」でバル・キルマーさんに黙祷「次の旅路での幸運を」
SNS激動時代…今後の可能性を感じるSNSは結局、何?
トランプ氏、TikTok交渉75日間再延長 法律違反の可能性も
「あんぱん」第1週振り返り&来週予告 「ダイジェストも面白い」「また泣いた」ネットの声
大谷翔平、第3打席はチェンジアップに空振り三振 開幕8連勝のチームはリードを許して後半戦へ
こいのぼりが川に……掲揚ロープの切断被害相次ぐ 群馬・館林
【西武】驚異!高卒ドラ5の篠原響が球場ガンで自己最速「156」表示 打者54人に対していまだ
ひろゆき氏「教科書に載るレベルの不況になりそう」トランプ関税を巡る“恐怖指数”の上昇に言及