Hive、LockBit、BlackCatの3つのランサムウェアグループが、同一のネットワークを連続で攻撃
- 2022年09月26日 13:30:00
- マネー
- Dream News
<<報道資料>>
ソフォス株式会社
Hive、LockBit、BlackCatの3つのランサムウェアグループが、同一のネットワークを連続で攻撃
~標的となった組織はファイルを三重に暗号化され、3通の身代金メモが送り付けられる~
次世代サイバーセキュリティのグローバルリーダー企業であるソフォス株式会社(東京都港区 代表取締役 中西 智行)は本日、「複数の攻撃者:明確に差し迫った脅威」と題されたSophos X-Opsが発行したアクティブアドバーサリに関するホワイトペーパーの中で、Hive、LockBit(およびBlackCatの3つ有名なランサムウェアグループが同じネットワークを連続で攻撃した事例を報告しました。最初の2回の攻撃は2時間以内に、3回目の攻撃は2週間後に行われました。それぞれのランサムウェアグループが身代金メモを残し、一部のファイルは三重に暗号化されていました。
ソフォスのシニアセキュリティアドバイザーであるJohn Shierは次のように述べています。「1件のランサムウェア攻撃に対処するだけでも十分大変であり、3件の異なる攻撃を受ける影響がどれほど過酷か容易に想像できるでしょう。特に、ネットワークにあるファイルが複数の攻撃者によって三重に暗号化されている場合、復旧は極めて困難になります。予防、検知、対応という包括的なサイバーセキュリティ対策が、あらゆる規模や業種の組織にとって重要になっています。いかなる企業も攻撃と無縁ではありません」
このホワイトペーパーではさらに、複数のサイバー攻撃が同時に発生した他の事例も紹介しています。中には、クリプトマイナー、リモートアクセス型のトロイの木馬(RAT)、ボットなどによる攻撃が発生した事例も報告されています。複数の攻撃者が同一のシステムを標的とした過去の事例では、攻撃は通常、何か月あるいは何年にもわたって行われていました。今回ソフォスのホワイトペーパーで紹介された攻撃は、数日から数週間の短期間に連続して発生しており、中には攻撃が同時に発生したケースもありました。多くの場合、異なる攻撃者が脆弱な同じ侵入口を通じて標的のネットワークにアクセスしていました。
サイバー犯罪組織は競合することが多く、複数の攻撃者が同時に活動することは困難になっています。クリプトマイナーは通常、同じシステムに競合が存在している場合にはそのクリプトマイナーを停止します。また、最近のRATは、ボットを停止する機能を備えていることを頻繁に犯罪フォーラムで強調しています。しかし、3つのランサムウェアグループが関与した今回の攻撃では、最後に登場したBlackCatは、自身の活動の痕跡だけでなく、LockBitとHiveの活動の痕跡も削除しました。また、あるシステムがLockBitランサムウェアに感染した事例では、約3か月後に、Contiとの関係が指摘されているKarakurt Teamのメンバーが、LockBitが作成したバックドアを利用してデータを盗み出し、身代金を要求しました。
Shierは次のように述べています。「全体的に、ランサムウェアグループは表立って敵対しているようには見えません。ソフォスのホワイトペーパーで説明されているように、LockBitは実際、アフィリエイトがLockBitと競合するグループと協力することを明確には禁じていません。ランサムウェアグループ間で協力し合っているという明確な証拠はありませんが、もしこれが事実であれば、競争が激化するサイバー犯罪市場において、攻撃のためのリソースが有限であることを攻撃者が認識した帰結である可能性もあります。あるいは、標的に与えるプレッシャーが大きいほど、つまり攻撃を繰り返し仕掛けるほど、標的が身代金を支払う可能性が高くなると考えている可能性があります。グループの上層部が談合し、一方のグループがデータを暗号化し、もう一方のグループがデータを窃取するというような互恵的な関係について合意に達しているのかもしれません。いずれ、これらのグループは協力関係をさらに強化するのか、それともより競争を激化させるのかを選択しなければならないでしょう。しかし、現在は異なるグループが同じ標的に繰り返し攻撃を行う環境が整っています」
このホワイトペーパーで取り上げられた攻撃では、最初の感染のほとんどは Log4Shell、ProxyLogon、およびProxyShellなどのパッチが適用されていない脆弱性、あるいは構成が不正であり安全が確保されていないRDP(リモートデスクトッププロトコル)サーバーを通じて発生しています。複数の攻撃者が関与した多くの事例では、被害を受けた組織が最初の攻撃を適切に修正することができず、サイバー犯罪に悪用される侵入口が開かれたままになっていました。このような事例では、RDPの全く同じ設定ミスや、RDWebやAnyDeskなどのアプリケーションが、二度目以降の攻撃で侵入口として簡単に悪用されていました。実際、脆弱なRDPやVPNサーバーのリストは、ダークウェブで販売されている商品の中でも、最も人気のある出品物の1つです。
Shierは次のように述べています。「最新のアクティブアドバーサリープレイブックに記載されているように、2021年にソフォスは組織が複数の攻撃を同時に受ける事例を初めて確認し、このような攻撃が拡大する可能性について指摘しました。複数の攻撃者が協力するインシデントの増加はまだ十分な事例に基づいて証明されているわけではありませんが、攻撃が可能なシステムが存在する以上、サイバー犯罪者がこのような攻撃を今後発展させる可能性は十分にあるでしょう。」
同時多発型のサイバー攻撃や、このような攻撃からシステムを保護するための実用的なアドバイスの詳細については、Sophos.comでホワイトペーパー「複数の攻撃者:明確に差し迫った脅威」(https://news.sophos.com/ja-jp/2022/08/09/multiple-attackers-increase-pressure-on-victims-complicate-incident-response-jp/)を参照してください。
●その他の参考情報
・Sophos X-Opsのブログ(https://news.sophos.com/ja-jp/)をサブスクライブし、TwitterでSophos X-Ops(https://twitter.com/sophosxops)をフォローして、Sophos X-Opsと画期的な脅威リサーチ(https://news.sophos.com/ja-jp/2022/07/20/behind-the-research-the-making-of-ooda-x-ops-takes-on-burgeoning-sql-server-attacks-jp/)の詳細を確認してください。
・同一ネットワークを標的とする複数の攻撃者(https://news.sophos.com/ja-jp/2022/06/22/active-adversary-playbook-2022-insights-web-shells-jp/):ソフォスのBlackCatレポートでは、いくつかの攻撃が同時にまたは重複して実施されていること、また、同じサイバー攻撃者によっていくつかの異なる攻撃が2回行われていることが明らかになりました。
https://news.sophos.com/ja-jp/2022/07/14/blackcat-ransomware-attacks-not-merely-a-byproduct-of-bad-luck-jp/
・攻撃者の滞留時間や 新たな戦術、手法、手順(TTP)についての知見をまとめたソフォスの 「アクティブアドバーサリープレイブック2022」
https://news.sophos.com/ja-jp/2022/06/07/active-adversary-playbook-2022-jp/
・ヘルスケア、政府機関、教育、などの業界におけるランサムウェアの世界的な拡散状況とその影響についてまとめた「ランサムウェアの現状2022年版」
https://www.sophos.com/ja-jp/content/state-of-ransomware
・名前別にランサムウェアの詳細を確認できるランサムウェア脅威インテリジェンスセンター
https://news.sophos.com/ja-jp/2022/03/17/the-ransomware-threat-intelligence-center-jp/
●ソフォスについて
ソフォスは、次世代型サイバーセキュリティにおいて世界をリードする企業として世界 150ヶ国以上、50万社を超える組織と数百万のコンシューマ消費者を今日の高度なサイバー脅威から保護します。ソフォスは、SophosLabs と Sophos AI からの脅威インテリジェンス機能、AI、機械学習を活用して、ユーザー、ネットワーク、エンドポイントをランサムウェア、マルウェア、エクスプロイト、フィッシング、その他さまざまなサイバー攻撃から保護するために高度な製品やサービスの幅広いポートフォリオを提供します。ソフォスは、単一の統合されたクラウドベース管理コンソールである Sophos Central を提供します。これは、適応型サイバーセキュリティエコシステムの中心的存在であり、お客様、パートナー、開発者、その他のサイバーセキュリティベンダーが利用できる豊富なオープン API のセットを活用した一元化されたデータレイクを備えています。ソフォスは、リセラーパートナー、MSP (マネージド サービス プロバイダ) を通じてソフォス製品とサービスを販売しています。ソフォス本社は英国オックスフォードにあります。詳細については www.sophos.com (日本語サイト:https://www.sophos.com/ja-jp.aspx )をご覧ください。
●報道関係のお問合せ先
ソフォス株式会社広報事務局
Tel: 03-6454-6930
Email: sophos@ambilogue.com
以上
配信元企業:ソフォス株式会社
プレスリリース詳細へ
ドリームニューストップへ
マドンナ、「性的すぎる」と観客に訴えられる 世界ツアー「セレブレーション」の演出に不快感
【阪神】「感覚」を大事にしている森下翔太「どんどん引き出しつくって」試行錯誤は続く
Snow Man渡辺翔太×中村アン 王道ラブコメ「青島くんはいじわる」でW主演&初共演
女優セレーナ・ゴメス「35歳まで独身だったら養子を迎えるつもりだった」と米紙に明かす
ロバーツ監督が笑顔 大谷翔平と真美子夫人から誕生日プレゼントでもらったものは…
大型雪上車の下敷きで30カ所骨折の米俳優ジェレミー・レナーが驚異的回復力、映画で復帰出演へ
ボイメン元リーダー水野勝、非劇場上映全国1位の映画続編出演 見どころなど語る/インタビュー
早大が早慶戦に連勝、リーグ最多通算47度目V 小宮山悟監督「泣く要件がない」圧勝&完全優勝
【ヤクルト】石川雅規23年連続勝利 見えない世界にアンテナ…休日裁判傍聴&侍コーチ講演参加
フリーアナ五戸美樹、第2子長男を出産「母子ともに健康です」
柏原崇(45)現在を調べてみた結果、相変わらずかっこよすぎた!
何があった!?「エアコン」が想定外の壊れ具合!投稿者に話を聞いた
浜崎あゆみ、子供の写真公開に疑いの声止まず「よそのお宅の子供?」
玉置浩二の妻、青田典子(53)の現在がとんでもない事になっていると話題に
大谷翔平被弾投手が悪態ついて退場処分!次打者フリーマンと対戦中に判定巡り塁審と口論
YouTuberジュキヤの動画企画が大炎上「普通に痴漢」「気持ち悪すぎ」
千原せいじのシエラレオネ巡る発言 NPO代表理事が公式謝罪忠告「最悪、国家間の問題に発展」
ユーチューバーもこう氏、元彼女・成海瑠奈について赤裸々告白
大谷翔平10試合ぶり14号 シティフィールド初アーチ、26球場目は自らの日本人記録更新
大谷に被弾→次打者判定で審判と口論→退場→「チーム、自分も最悪」→戦力外
何があった!?「エアコン」が想定外の壊れ具合!投稿者に話を聞いた
柏原崇(45)現在を調べてみた結果、相変わらずかっこよすぎた!
玉置浩二の妻、青田典子(53)の現在がとんでもない事になっていると話題に
ユーチューバーもこう氏、元彼女・成海瑠奈について赤裸々告白
元めちゃイケメンバーの三中元克(32)現在は何をしているのか調べてみた!
TikTokを賑わす「フエラムネごめんなサイダー味」がセブンイレブンで再販!じゅるるマスカットも買うなら今!
小倉優子、不自然な“二重ライン”にネット騒然「やっぱり整形?」
ガーシーが綾野剛のLINE公開でネット騒然「ショック」「すごいエンタメ」
岡本夏生(56)、1600日ぶりにブログを更新した現在が衝撃
大原櫻子、ガーシー暴露後初のSNS投稿に賛否の声「イメージ最悪になった」
マドンナ、「性的すぎる」と観客に訴えられる 世界ツアー「セレブレーション」の演出に不快感
【阪神】「感覚」を大事にしている森下翔太「どんどん引き出しつくって」試行錯誤は続く
Snow Man渡辺翔太×中村アン 王道ラブコメ「青島くんはいじわる」でW主演&初共演
ロバーツ監督が笑顔 大谷翔平と真美子夫人から誕生日プレゼントでもらったものは…
女優セレーナ・ゴメス「35歳まで独身だったら養子を迎えるつもりだった」と米紙に明かす
大型雪上車の下敷きで30カ所骨折の米俳優ジェレミー・レナーが驚異的回復力、映画で復帰出演へ
ボイメン元リーダー水野勝、非劇場上映全国1位の映画続編出演 見どころなど語る/インタビュー
早大が早慶戦に連勝、リーグ最多通算47度目V 小宮山悟監督「泣く要件がない」圧勝&完全優勝
【ヤクルト】石川雅規23年連続勝利 見えない世界にアンテナ…休日裁判傍聴&侍コーチ講演参加
フリーアナ五戸美樹、第2子長男を出産「母子ともに健康です」