世界中の組織を標的に、ランサムウェア「Mespinoza(PYSA)」で攻撃を展開しているグループは、被害者が違法行為に関与していることを示唆する機密情報やファイルを探し出し、それを恐喝のさらなるネタとして悪用して、身代金を支払わせようとしている。
Mespinozaを用いた攻撃グループは、復号ツールの見返りに数百万ドルを要求し、被害者が支払わない場合は、侵害したネットワークから盗んだ情報を公開すると脅している。
Mespinozaの被害者は世界各地にいるが、主に米国の製造業、小売業、エンジニアリング、教育、政府機関などの組織を、集中的に狙っているようだ。この攻撃グループによる被害は拡大しており、米連邦捜査局(FBI)が3月に警告をしたほどだ。
サイバーセキュリティ企業のPalo Alto Networksは、Mespinoza攻撃を分析し、この「非常に統制の取れた」ランサムウェアグループの手口を詳述している。それによると、違法行為の証拠や機密情報を積極的に探し出し、「二重脅迫」で悪用しようとする。
Mespinozaも多くのランサムウェアグループ同様、まずリモートデスクトッププロトコル(RDP)システムを侵害して、ネットワークに入り込む。ログイン情報を盗むために、ブルートフォース(総当り)攻撃もしくはフィッシング攻撃を行うのかは不明だが、正規のユーザー名とパスワードを使ってシステムにアクセスするため、ネットワーク内を移動してランサムウェア攻撃の足場を築いている間も、発見されにくいという。
ほかにも、侵入したネットワークへの永続的アクセスを確保するために、「Gasket」と呼ばれるバックドアをインストールしたり、継続的なリモートアクセスのために「MagicSocks」という機能を参照したりする。
攻撃者はこのようにして永続性を維持し、時間をかけてネットワーク内を探る。機密情報に関連したファイル名やサーバー名、財務データ、さらには被害者の違法行為を示唆する情報など、とりわけ身代金を要求する際に悪用できる内容に関心を示しているという。
要求する身代金は、150万ドル(約1億6500万円)を超えることが多い。しかし、被害者との交渉の結果、復号ツールのほか、盗んだ情報を公開しないことと引き換えに、約50万ドル(約5500万円)の支払いで手を打つことも多々あるようだ。
このグループは2020年4月から活動しているが、それは新型コロナウイルスの世界的流行により、多くの組織が突如としてリモートワークに移行せねばならず、RDP攻撃により脆弱になったのと、時を同じくしている。Mespinozaは、ほかのランサムウェアほど有名ではないが、1年以上にわたって活動していること自体、成功を収めていることの表れだろう。
Mespinozaを用いた攻撃グループが、どこを拠点に活動しているのかは明らかではない。しかし、身代金から利益を得ているかぎり、攻撃は続くだろう。そして、組織のRDPが保護されていなければ、このグループを始め、ランサムウェアで攻撃を仕掛けるサイバー犯罪者の格好の標的になるはずだ。
組織は、デフォルトのパスワードの使用を避け、ユーザーアカウントに多要素認証を適用することで、RDPサービスが侵害される危険性を緩和できる。
この記事は海外Red Ventures発の記事を朝日インタラクティブが日本向けに編集したものです。
