ALPHV/BlackCatランサムウェア、リークサイトのAPIを提供する新たな恐喝戦術を採用
ALPHV/BlackCatランサムウェアグループが、被害者に対する身代金支払いの圧力を強める目的で、データリークサイトのAPIを提供するという新たな恐喝戦術を取り入れている。このAPIを利用することで、同グループの攻撃を受けた新たな被害者に関する情報をタイムリーに得られるようになるという。身代金を支払う被害組織が減少傾向にある中、ランサムウェアグループは被害者に圧力をかけて資金を奪い取るための新たな手法を見つけようとしており、今回のAPI追加もそのような取り組みの1つだとみられる。
ALPHV/BlackCatのAPI
今週初め、ALPHVのデータリークサイトにAPIの使用法などが記された新たなページが追加されているのを、複数の研究者が発見。このページには、リークサイトに追加された新たな被害者に関するさまざまな情報や、特定の日付以降の新たな情報を呼び出すのに使える複数のAPIコールが掲載されている。これに加え、ALPHVはリークサイト上の最新情報を取得するために使用できるPythonで書かれたクローラーも提供していた。なお、このページが発見されたのは最近になってからだが、API機能の一部は数か月前から一部ユーザーに対して利用可能な状態になっていたとされる。
ALPHV ransomware group now provides an API for their ransomware leak site.
Neat. pic.twitter.com/Ww0gjA3SSw
— vx-underground (@vxunderground) July 24, 2023
身代金支払いに応じる被害組織は大幅減
ALPHVが今回のような新しい恐喝戦術を取り入れるようになっている背景には、ランサムウェア攻撃の被害者のうち、身代金の支払いに応じる組織が減っているという事情がある。Covewareのレポートによれば、2023年第2四半期において身代金を支払った被害組織は、全体のわずか34%で過去最低だったという。
最近の例だと、ALPHVは自らの攻撃の被害者であるエスティ ローダー社を身代金交渉に参加させるべくリークサイトに同社を追加し、さらに同社へ複数回にわたってEメールを送っていたものの、エスティ ローダー側は同グループを徹底的に無視している。
ALPHVのほか、Clopランサムウェアグループも最近、クリアウェブのデータリークサイトを作成するという新たな戦術を採用し始めた。ただ、Bleeping Computerの考えでは、このような、リークデータを今までよりも多くの人々の目に触れさせやすくしようとするランサムウェアグループの試みは、最終的に失敗する可能性が高いとのこと。
(情報源:Bleeping Computer “ALPHV ransomware adds data leak API in new extortion strategy”)