ランサムウェア「Mespinoza」の攻撃者、犯罪の証拠も探り二重恐喝

Danny Palmer (ZDNET.com) 翻訳校正: 編集部

2021-07-16 12:23

 世界中の組織を標的に、ランサムウェア「Mespinoza(PYSA)」で攻撃を展開しているグループは、被害者が違法行為に関与していることを示唆する機密情報やファイルを探し出し、それを恐喝のさらなるネタとして悪用して、身代金を支払わせようとしている。

 Mespinozaを用いた攻撃グループは、復号ツールの見返りに数百万ドルを要求し、被害者が支払わない場合は、侵害したネットワークから盗んだ情報を公開すると脅している。

 Mespinozaの被害者は世界各地にいるが、主に米国の製造業、小売業、エンジニアリング、教育、政府機関などの組織を、集中的に狙っているようだ。この攻撃グループによる被害は拡大しており、米連邦捜査局(FBI)が3月に警告をしたほどだ。

 サイバーセキュリティ企業のPalo Alto Networksは、Mespinoza攻撃を分析し、この「非常に統制の取れた」ランサムウェアグループの手口を詳述している。それによると、違法行為の証拠や機密情報を積極的に探し出し、「二重脅迫」で悪用しようとする。

 Mespinozaも多くのランサムウェアグループ同様、まずリモートデスクトッププロトコル(RDP)システムを侵害して、ネットワークに入り込む。ログイン情報を盗むために、ブルートフォース(総当り)攻撃もしくはフィッシング攻撃を行うのかは不明だが、正規のユーザー名とパスワードを使ってシステムにアクセスするため、ネットワーク内を移動してランサムウェア攻撃の足場を築いている間も、発見されにくいという。

 ほかにも、侵入したネットワークへの永続的アクセスを確保するために、「Gasket」と呼ばれるバックドアをインストールしたり、継続的なリモートアクセスのために「MagicSocks」という機能を参照したりする。

 攻撃者はこのようにして永続性を維持し、時間をかけてネットワーク内を探る。機密情報に関連したファイル名やサーバー名、財務データ、さらには被害者の違法行為を示唆する情報など、とりわけ身代金を要求する際に悪用できる内容に関心を示しているという。

 要求する身代金は、150万ドル(約1億6500万円)を超えることが多い。しかし、被害者との交渉の結果、復号ツールのほか、盗んだ情報を公開しないことと引き換えに、約50万ドル(約5500万円)の支払いで手を打つことも多々あるようだ。

 このグループは2020年4月から活動しているが、それは新型コロナウイルスの世界的流行により、多くの組織が突如としてリモートワークに移行せねばならず、RDP攻撃により脆弱になったのと、時を同じくしている。Mespinozaは、ほかのランサムウェアほど有名ではないが、1年以上にわたって活動していること自体、成功を収めていることの表れだろう。

 Mespinozaを用いた攻撃グループが、どこを拠点に活動しているのかは明らかではない。しかし、身代金から利益を得ているかぎり、攻撃は続くだろう。そして、組織のRDPが保護されていなければ、このグループを始め、ランサムウェアで攻撃を仕掛けるサイバー犯罪者の格好の標的になるはずだ。

 組織は、デフォルトのパスワードの使用を避け、ユーザーアカウントに多要素認証を適用することで、RDPサービスが侵害される危険性を緩和できる。

この記事は海外Red Ventures発の記事を朝日インタラクティブが日本向けに編集したものです。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ホワイトペーパー

新着

ランキング

  1. セキュリティ

    Pマーク改訂で何が変わり、何をすればいいのか?まずは改訂の概要と企業に求められる対応を理解しよう

  2. セキュリティ

    従来型のセキュリティでは太刀打ちできない「生成AIによるサイバー攻撃」撃退法のススメ

  3. 運用管理

    メールアラートは廃止すべき時が来た! IT運用担当者がゆとりを取り戻す5つの方法

  4. セキュリティ

    2025年はクラウドを標的にする攻撃が増加!?調査レポートに見る、今後警戒すべき攻撃トレンド

  5. セキュリティ

    最も警戒すべきセキュリティ脅威「ランサムウェア」対策として知っておくべきこと

ZDNET Japan クイックポール

所属する組織のデータ活用状況はどの段階にありますか?

NEWSLETTERS

エンタープライズコンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]