Snatch:ロシアを拠点とするランサムウェアグループについて米当局が注意喚起
ロシアを拠点とするランサムウェアグループSnatchについて、米FBIとCIAが20日に共同アドバイザリをリリース。同グループはIT、防衛、食品・農業といった幅広い業界の組織を標的にしており、堅実に戦術を進化させてきたのだという。直近では、フロリダ州の退役軍人局がSnatchのリークサイトに被害者として掲載されている。
Snatchランサムウェアとは?
Snatchは2018年に登場したランサムウェア・アズ・ア・サービス(RaaS)グループで、当初は「Team Truniger」と呼ばれていた。この名称は、主要メンバーであり、今は亡きランサムウェアグループGandCrabの元メンバーだった人物のニックネーム「Truniger」に由来する。Snatchのランサムウェアは、標的デバイスをセーフモードで再起動することによりアンチウイルスなどに検出されるのを回避してからファイルの暗号化を行うことで知られる。
その他のランサムウェアグループと同様、リークサイトを利用して二重恐喝を行う場合があるとされ、身代金を支払わない被害者はこのサイトへ掲載されて恐喝されたり、データをリークされたりすることがある。また被害者との連絡手段には、EメールやToxのほか、電話も使われる場合があるという。
オペレーションにはロシアの防弾ホスティングサービスを利用
FBIとCISAによれば、Snatchのハッカーらはロシアの防弾ホスティングサービス上のC2サーバーを用いて攻撃を開始するという。同グループのアフィリエイトが標的ネットワークへ侵入する際に用いる手法は複数あるが、主要なのはRDPの悪用やブルートフォース攻撃など。また場合によっては、組織から盗まれた/流出したRDP認証情報をアンダーグラウンドマーケットで購入し、それを利用することもあるとされる。
Telegramチャンネルの謎
今年7月、Snatchの名を冠するTelegramチャンネル(現在は閉鎖されている)が登場し、8月には南アフリカ国防省から盗まれたとされる機密文書のリークを行ったことが話題となった。このチャンネルではSnatchランサムウェアグループのリークサイトに掲載された被害組織への攻撃に関する投稿が頻繁になされていたが、FBIによると、掲載された情報にはContiやNokoyamaといった別のグループによって盗まれたものもあったという。しかし、このTelegramチャンネルの運営者とされる者たちは、自身は「Security Notification Attachment」略して「SNAtch」というチームであり、ランサムウェアプロジェクトのSnatchとは無関係だと主張している。なお、SNAtchとSnatchランサムウェアの実際の関係性は不明。
このほか、CISAとFBIの共同アドバイザリには技術的な詳細や推奨される緩和策、IoCなどが記載されている。
(情報源:The Record “Snatch gang ‘consistently evolved’ in targeting multiple industries, feds say”、The Register “Feds raise alarm over Snatch ransomware as extortion crew brags of Veterans Affairs hit”、DataBreaches.net ”At some point, SNAtch Team stopped being the Snatch ransomware gang. Were journalists the last to know?”)
9月21日:その他のロシア・ウクライナ関連ニュース
カナダ、出入国審査設備の障害原因はサイバー攻撃だったと述べる 親ロシア派グループが関与か
親ロシア派のハッキンググループによるものと疑われるDDoS攻撃により、カナダの複数の空港の自動チェックイン機や電子ゲートといったサービスが広範囲にわたって停止したという。モントリオール-トルドー国際空港を含む国中の国境検問所では、自動チェックイン機のコンピューター障害により、到着手続きに1時間以上の大幅な遅れが生じたとのこと。カナダ国境サービス庁(CBSA)は、数時間以内にすべてのシステムを復旧させたと述べた。また、これらの攻撃による個人情報の漏洩はなかったという。
NoName057(16)はCBSA、カナダ航空運送安全局、政府機関や金融機関などカナダの複数の組織を標的にしたサイバー攻撃の犯行声明を出していたが、CBSAはこの攻撃を同グループによるものと直接断定しておらず、どのようにしてコンピューターシステムに侵入されたのかも明らかにしていない。NoNameは親ロシア派のハクティビストグループで、数百人のボランティアの支援を得て比較的単純かつ短時間のDDoS攻撃を指揮している。同グループは「反ロシア」政策をとっているとしてウクライナ支援国を標的にしているほか、カナダの安楽死に関する法律も攻撃理由として挙げているという。
カナダサイバーセキュリティセンターは、カナダ政府、金融および運輸部門を標的としたこのDDoSキャンペーンについて、国内の技術専門家や管理者に警告を発している。
国際刑事裁判所、サイバー攻撃を受ける ロシアの戦争犯罪を調査する中
国際刑事裁判所(ICC)は、サイバーアクターが同裁判所のITシステムを侵害したと発表した。ICCは「異常な活動」を検知した後直ちにこのインシデントに対応し、その影響を軽減するための行動をとったが、攻撃はまだ終わっていないという。
現在はオランダ当局の支援のもと、追加の対応とセキュリティ対策が進行中とのこと。ICCの広報担当者は、攻撃の背後に誰がいたのか、どのように侵入されたのか、データは盗まれたのか、侵害は完全に封じ込められたのかなどのThe Registerの質問に対する回答を避けている。今のところ、犯行声明を出しているランサムウェアやその他のサイバー犯罪グループはいない模様。
今回のセキュリティ侵害は、ウクライナ侵攻時にロシアが犯した戦争犯罪の疑惑についてICCが調査している最中に起きた。ICCはプーチン氏と、子供の権利担当のマリア・リボワベロワ氏に対し、ウクライナの占領地域からロシアに子どもを移送した疑いで逮捕状を発行している。これらの令状によって、ICCが「サイバー攻撃の格好の標的」となっているとある専門家は指摘する。同氏によれば、ICCは刑事事件に関する情報を持っているため、改ざんや諜報目的で情報にアクセスすることは、国際刑事司法制度の手続きに影響を与え、混乱させるための強力な手段であるとのこと。ICCは高度に専門化された組織であり、サイバー防衛に多くの注意を払っている。しかし今回のインシデントは、サイバー攻撃を免れる組織はないということを示すものとなっているようだ。