ランサムウェア攻撃の被害者がネットワークを復旧するために身代金を支払ったにもかかわらず、サイバー犯罪者が約束を果たさなかったケースがあったという。
提供:Getty/5m3photos
Barracuda Networksのサイバーセキュリティリサーチャーらによると、このインシデントが実際に発生したのは2021年8月のことだった。同社の説明によると、ランサムウェアグループ「BlackMatter」のハッカーらがフィッシングメールを用い、ある企業(社名は明かされていない)に勤める1人の従業員のアカウントに侵入したという。
攻撃者はそこからインフラを水平移動してネットワークへのアクセスを拡大していき、最終的にハッキングツールをインストールした上で機密データを盗んだとされている。
機密データの窃盗はランサムウェア攻撃の一環としてよく見られるようになっている。犯罪者は身代金が支払われなければこうしたデータを公開すると脅迫するのだ。
このBlackMatterのケースにおいて、攻撃者はシステムを暗号化し、ビットコインでの身代金支払いを要求する前に、少なくとも数週間は検知されることなくネットワークに潜んでいたようだ。
サイバーセキュリティ機関は、ネットワークが暗号化されてしまった場合であっても、復号鍵を得ようとして身代金要求に応じるべきではないと警告している。要求に応じることは、この種の攻撃が有効であるとハッカーに知らしめるだけだからだ。
しかしこのケースの企業は、交渉を通じて身代金の額を当初の半分にまで引き下げた後、支払いに応じた。身代金は支払われたにもかかわらず、その数週間後にBlackMatterグループは盗み出したデータを流出させ、サイバー犯罪者を信じてはならないという教訓を残した。
Barracudaのサイバーセキュリティ対応チームは、感染したシステムの隔離と、オンライン状態への復旧、バックアップからの復元を支援した。
Barracudaによると、ネットワーク監査の後、アカウントに多要素認証(MFA)が適用されたという。これは、MFAを導入していなかったことが、攻撃者によるアカウントへの侵入と潜伏活動につながったということを示唆している。
BlackMatterはこのインシデントの数カ月後に活動停止を発表し、同グループのサービスとしてのランサムウェア(RaaS)を使用しているハッカーらに向け、「LockBit」に移行するよう推奨した。
Barracudaによると、ランサムウェア攻撃は増加傾向にあり、ヘルスケアや教育、インフラなど重要な業種に対する攻撃は前年比で倍以上に増えているという。
この記事は海外Red Ventures発の記事を朝日インタラクティブが日本向けに編集したものです。