ランサムウェア攻撃者が「二重の強請」戦術を使う意味

Cisco Talos Blog

blog.talosintelligence.com

ランサムウェアのアクターが「二重の強請」戦術を使用するとは何を意味するのか? By Jonathan Munshaw

2023年6月14日(水) 08:06

The Need to Know

ダブルエクストーションについて

ランサムウェアのアクターがターゲットのファイルを暗号化し、金を要求してから立ち去るだけでは不十分になってきました。 近年、これらのグループは「二重の強請」戦術をますます使用し、被害者に要求した身代金を支払うように促し、支払わなければ盗まれたデータをインターネットに流出させると脅しています。 二重の強請ランサムウェア攻撃では、アクターはターゲットのマシンのファイルやフォルダを暗号化するという、伝統的なランサムウェアの行動を行います。これに対する報酬として特定の金額を要求する身代金のメモを残し、それと引き換えにターゲットのネットワークとハードウェアを正常な作業状態に戻すための復号化キーを提供します。 ただし、この復号化キーが適切に機能するとは限らないため、Talosは、組織がランサムウェア攻撃を受けた場合に迅速に回復できるように、バックアップが適切に設定されていることを確認するためのいくつかの別のランサムウェア対策方法を推奨しています。 二重の強請を使用するアクターは、この一歩進めて、身代金が支払われなければ、ターゲットのデータを公衆やダークウェブに流出させると脅します。このことにより、個人を特定可能な情報(PII)や他の悪質なアクターが後続の攻撃や誰かの身元を盗むために使用可能な金融情報など、潜在的に敏感なデータが大量に公開されるリスクが一部の組織にとっては生じます。

ダブルエクストーション攻撃の最終目標は何か?

ランサムウェアのアクターは、この追加のプレッシャー層を追加することで、被害者が自分で回復しようとするよりも、要求された身代金を支払う可能性が高くなることを期待しています。 データの漏洩は、被攻撃組織に法的な問題を引き起こす可能性があります。また、公衆の評価が低下し、顧客の信頼を失う可能性があります。 結局のところ、ランサムウェアのグループは金によって動機付けられています。彼らは被害者が支払う可能性を高めるために、何でもするでしょう。 これらのグループは、被害者とのコミュニケーションを進めることをますます積極的に行い、支払いを交渉したり、被害者に対する圧力を追加する可能性があります。Talos Outreachの責任者であるNick Biasiniは最近、Talos Takesのエピソードでこれらの戦術について話し、ランサムウェアグループの動機を「あなたが会話を始められなければ、給料日にはなりません...彼らがコミュニケーションを持っているとき、彼らは可能性のある被害者を持っていることを知っています。」と要約しました。

注目すべき例:RA Group

RA Groupは、Cisco Talosが最近発見した新しいランサムウェアのアクターで、明確に二重の強請戦術を使用しています。それはアクターが制御するウェブサイトを運営し、そこで可能な被害者のリストを投稿し、ターゲットから盗んだデータを公に脅迫すると脅しています。 RA Groupは、組織の名前、盗まれたデータのリスト、盗まれたデータのファイルサイズ、被害者組織のウェブサイトのURLを含むと主張しています。アクターが残した身代金のメモは被害者に合わせてカスタマイズされ、要求された身代金を3日以内に支払わなければ、すべての盗まれたデータが公開される可能性があると通告されています。 3日間の期限が来ると、RA Groupは自分たちの主張の正当性を証明するために「サンプルファイル」を公開すると言います。リークサイトは、「私たちは定期的に文書を公開し、すべての文書は1年以内にリリースされる」と述べています。 RA Groupは、ダークウェブでデータを売るという脅威を新たに導入しました。二重の強請戦術は、盗まれたデータのリークで知られていますが、販売は新しい策略かもしれません。 グループのリークサイトは、Talosが見た最初の例の一つで、1年間のウィンドウ期間中に他の悪質なアクターにデータを販売すると公に脅すものです。データを購入に興味がある人に対して、RA Groupは暗号化されたインスタントメッセージングプラットフォームであるqToxを通じて連絡するように明示的に指示しています。 これは、ランサムウェアの風景における新しい発展であり、脅威のアクターが成功した攻撃から収益を得るための新しい方法となります。 Talosは、過去3年間に二重の強請方法を使用し始めたいくつかの他の脅威アクターを調査してきました。これには、UNC2447、Vice Society、Silence Groupが含まれます。

予防

二重の強請ランサムウェア攻撃から防御するために、ユーザーや組織はランサムウェアを回避するための古典的なアドバイスに従うべきです:

  • 多要素認証プロトコルを使用する。Cisco Duoのような多要素認証プロトコルを使用することで、脅威のアクターが目標とするシステムに初めて足を踏み入れるための手段であるクレデンシャルの窃取を防ぐことができます。
  • Cisco Secure Endpointおよび他のCisco Secure製品を利用する。これらはネットワークをより強固にするための多層的な保護を提供します。Cisco SecureとTalosには、初期の感染、偵察、横方向の移動、ファイルの暗号化を検出し、防止するためのエンジンが多数あります。
  • インシデント対応のプレイブックと計画を用意する。インシデント対応のプレイブックと計画が存在し、試験済みであることは、攻撃後の迅速な回復と組織全体のランサムウェアからの防御において重要です。
  • システムとアプリケーションを定期的に更新する。これにより、脅威のアクターがエクスプロイトに利用することのできる既知の脆弱性を修正できます。

これらはすべて有効な手段ですが、二重の強請攻撃からの完全な保護を提供するものではありません。Talosは、ランサムウェア攻撃が発生した場合、組織が適切に回復できるように、データのバックアップを強く推奨しています。 さらに、組織が自身の情報を保護するためにどのような手段を講じるかについて考える際に、重要なデータがどこに保存されているか、誰がアクセスできるのか、それらがどのように保護されているのかについての総合的な理解が重要です。 どんなに防御を強化しても、ランサムウェアのアクターが自身の目標を達成するための新しい方法を見つける可能性があるため、企業や個人は警戒を怠らないようにする必要があります。 Source: Cisco Blogs