ClopランサムウェアグループはMOVEit狙った恐喝攻撃で7,500万ドル超を稼ぐ見込み
Clopランサムウェアグループは、MOVEit Transferの脆弱性を悪用したデータ窃取・恐喝攻撃で7,500万〜1億ドルを稼ぎ出す見込みであることが、Covewareのレポートにより明かされた。Covewareによると、Clopの戦術は過去のGoAnywhereやAccellion FTA関連の攻撃の時と比べて変化しており、MOVEitを狙った攻撃では、身代金支払いに応じる被害者が少なかったとしても利益を得られるよう、より高額な身代金を要求するようになっているという。
数百もの組織を侵害し、かつてより高額な身代金を要求
Covewareによると、ランサムウェア攻撃を受けた被害者のうち、身代金の支払いに応じる組織の数はかつてより減少しており、2023年第2四半期においては全体のわずか34%という記録的な少なさだったという。また、暗号化を伴わないデータ窃取のみによる恐喝攻撃に関しても身代金支払額は減少している。これには、被害者が身代金を支払うことよりも攻撃被害を開示することの方を選択するようになっているという背景がある。このため、ランサムウェアグループ側は被害者から得られる稼ぎを増やすために戦術を変更するようになっている。
そんな中、ClopがMOVEitを狙った攻撃キャンペーンにおいて採用した戦術は、数百もの組織を侵害し、過去の攻撃時よりもはるかに高額な身代金を要求するというもの。これには、支払いに応じる組織は少ないと分かっていながらも、ほんの少数の被害者が支払ってくれさえすればある程度の利益を得られるだろうという狙いがある。実際、Covewareの試算によれば、今回のMOVEitキャンペーンでClopに身代金を支払う被害者はわずかだとみられるが、その総額は7,500万〜1億ドルにも達するだろうとのこと。
Clopはクリアウェブでのデータリークも行うように
ランサムウェアグループのリークサイトは、法執行機関によるテイクダウンを難しくさせるためなどの理由からTorネットワーク上に設置されていることがほとんどで、Clopのリークサイトも同様だった。しかし最近、同グループがMOVEitキャンペーンの被害者を恐喝するためのクリアウェブサイトを作成し始めていたことが発覚したという。PWC、Ernst & Young、Kirkland、TD Ameritrade用のサイトがそれぞれ作成され、盗まれたデータをダウンロードするためのリンクが掲載されていた。
クリアウェブ版リークサイトの作成は無意味?
特殊なソフトウェアがないとアクセスできないTorなどの匿名ネットワークと比べて、クリアウェブサイトはインターネット上でホストされ、検索エンジンにインデックスされることもあり、リークされた情報はより広く拡散されやすい。このため、クリアウェブでのリークサイト作成は、自らのデータが巻き込まれた顧客や従業員、経営陣などに恐怖を与えるという意味では効果的かもしれない。しかし、クリアウェブ版リークサイトの問題点は、Torのものと比べてはるかにテイクダウンされやすいという点。現に、先ほど触れたClopのリークサイトはいずれも現時点ではオフラインになっている。このような背景から、クリアウェブでリークサイトを作成するという戦術の効果は疑問視されている模様。
(情報源:Bleeping Computer “Clop gang to earn over $75 million from MOVEit extortion attacks”、Coverware “Ransom Monetization Rates Fall to Record Low Despite Jump In Average Ransom Payments”、Bleeping Computer “Clop now leaks data stolen in MOVEit attacks on clearweb sites”)
7月22, 23日:その他の注目ニュース
Malloxランサムウェアの活動が急増中
Heimdal Security Blog – Jul 21 2023 10:59
最近の調査結果によると、2023年におけるMalloxのランサムウェア活動は、前年と比較して174%増という脅威的な増加を見せたとのこと。同ランサムウェアグループはTargetCompany、Fargo、Tohnichiとしても知られる。Palo Alto Networks Unit 42のセキュリティ研究者は、Malloxが他のランサムウェアアクターと同様に、二重の恐喝戦術を採用していることを報告した。同アクターは、侵害された組織から機微データを盗んでからファイルを暗号化し、その盗んだデータをリークサイトにリークすると脅して被害者に身代金の支払いを強要するという。また、過去には比較的小規模で閉鎖的なグループであったにもかかわらず、ランサムウェア・アズ・ア・サービス(RaaS)プログラムのアフィリエイトを積極的に採用してきており、これが最近の活動の急増の原因である可能性があるという。研究者は、こうしたアフィリエイトの採用活動が成功した場合、さらに多くの組織が攻撃に晒される可能性があると警告している。
AndroidスパイウェアのWyrmSpyとDragonEggにAPT41が関与か
APT41(別名Winnti、BARIUM、またはDouble Dragon)が、WyrmSpyとDragonEggと名付けられた2つのスパイウェアをAndroid電話機に投下するサイバースパイキャンペーンに関与したとされている。APT41は米国、アジア、欧州の様々な業界を標的としてきた歴史を持つ、中国による最も古い国家支援型グループの1つである。2020年にメンバー数人が起訴されたにもかかわらず、グループは進化を続けており、現在はモバイルユーザーに焦点を移しているという。今回のキャンペーンでは、いずれのスパイウェアもGoogle Playストアのアプリを介して配布されている模様。両者とも同様のAndroid署名証明書を共有し、広範なデータ収集・抽出機能を備え、侵害されたモバイル端末からユーザーの写真、位置情報、SMSメッセージ、および音声記録を採取するという。また、APT41がAndroid端末に関心を寄せていることは、モバイルエンドポイントが価値の高いデータを持つターゲットであることを示しているという。ユーザーは、信頼できないサードパーティのソースからアプリをダウンロードすることは避けるべきである。