ランサムウェアサービスの「REvil」を使用して米IT管理サービス企業のKaseyaに攻撃を仕掛けたグループが、全ての被害者が利用できる復号ツールを提供する見返りとして、7000万ドル(約78億円)もの巨額の身代金を要求していることが明らかになったという。
米連邦捜査局(FBI)は、6月に発生した米大手食肉加工メーカーであるJBSが受けたランサムウェア攻撃もREvilを利用したものだとしている。
Kaseyaは米国時間7月3日、同社とその顧客が同社の製品「VSA」に対する攻撃の被害を受けたことを認めた。VSAは、PCやサーバー、プリンター、ネットワーク、POSシステムなどをリモートから監視するためのソフトウェアだ。
Kaseyaは「残念ながらKaseyaの製品であるVSAは高度なサイバー攻撃の被害を受けている。当社のチームの素早い対応により、被害を受けたのはオンプレミスで製品を利用している非常に少数の顧客のみに止まっている」と述べている。
ところが、Kaseyaの顧客にマネージドサービスプロバイダーが含まれていたため、それらのプロバイダーがVSAを利用してリモート監視サービスを提供していた顧客にも連鎖的に攻撃の影響が及んでいる。Huntress Securityによれば、ランサムウェアの拡散にKaseyaのVSAが利用され、「1000社をはるかに超える数の企業」が被害を受けたという。
例えば、スウェーデンのスーパーマーケットチェーン「Coop」は、この攻撃で大きな影響を受け、日曜日の7月4日には多くの店舗の営業を停止せざるを得なかった。Coopはスウェーデン最大のスーパーマーケットチェーンのひとつだ。Coopによれば、オンライン販売システムは稼働していたが、POSシステムが利用できなくなった。7月4日の同社は店舗は開けていたものの、買い物客の入店は断り、イチゴやスナック、コーヒーなどを無料で配った。
Kaseyaへの攻撃は金銭的な動機によるもののようだが、その影響の大きさは、ロシア政府の指示によるSolarWindsのネットワーク管理ソフトウェア「Orion」に対する攻撃を彷彿とさせるものだ。
REvilは現在、Kaseyaに対する攻撃を終結させることができる汎用の復号ツールを提供する対価として、7000万ドルを要求しているという。REvilは「100万以上のシステムが感染した」と主張している。
BleepingComputerの報道によれば、REvilはこれまでに、被害を受けたマネージドサービスプロバイダーに500万ドル(約5億5000万円)を、個別の顧客に4万4999ドル(約550万円)を要求している。
ランサムウェア攻撃では、攻撃の前にデータを盗むことで被害者に身代金を支払うよう圧力をかけることも多いが、今回の攻撃ではデータは盗まれていないようだ。
この攻撃では、VSAに存在する未知のゼロデイ脆弱性が悪用された。
米国のJoe Biden大統領は7月3日の記者会見で、現時点ではロシア政府はこの攻撃に関与していないと考えているが、Vladimir Putin大統領にはすでに、関与していた場合には米政府として報復措置を取ると伝えているとコメントした。
この記事は海外Red Ventures発の記事を朝日インタラクティブが日本向けに編集したものです。
