Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

ジャックダニエルも2重恐喝の被害を受ける

米国のスピリッツメーカー、ブラウンフォーマンもREvilランサムの攻撃を受けて1TBの機密データが漏えいしたと報じられています。

www.infosecurity-magazine.com

サイバー犯罪者は、米国のワインとスピリッツの巨人であるブラウンフォーマンは、ランサムウェア関連の深刻なデータ侵害に苦しむ最新の有名ブランドになりました。

ジャックダニエルのメーカーはこの事件に関する詳細をほとんど公開していませんが、攻撃者がファイルを暗号化することを防ぐことに成功したと主張しています。

「私たちは法執行機関および世界クラスのサードパーティのデータセキュリティ専門家と緊密に協力して、この状況をできるだけ早く緩和して解決するようにしています」と簡単な声明で付け加えました。「積極的な交渉はありません。」

ただし、よくあることですが、攻撃者は会社からの身代金の支払いを強制するために追加の手順を実行したようです。彼らはブルームバーグに、1TBの企業データが手元にありケンタッキー州ルイビルに本社を置く会社への圧力を上げるために、バッチでオンラインに漏らされる可能性が高いと語った。

この攻撃の責任者と思われるグループはSodinokibi(REvil)で、Mazeや他のギャングと同様に、盗んだデータを投稿するための専用のリークサイトを維持しています。

以前の攻撃と同様に、その主張の証拠として、ファイル名のスクリーンショットをすでに共有しています。

 (Infosecurity Magazine記事より引用)※機械翻訳

 

公式発表(Brown-Forman社)

 

キタきつねの所感

ブラウン・フォーマン社はほとんど情報を開示していませんが、REvilランサムオペレータ(ハッカー)の攻撃は、ランサムによるファイルの暗号化拡散を食い止めた様です。

しかし、暗号化の前の機密データ窃取は防ぎきれなかった様です。

既に、REvilの漏えいリークサイト(DarkWeb)で1TBとされる機密データのサンプルが公開されており、こちらのスクリーンショットには内部通信、財務書類、契約、人事データが含まれています。また、従業員データも影響を受けた様です。

こうしたリークサイトでの公開(※マスコミに送信される場合もあります)は、ハッカー側が企業側に対して身代金(ランサム)支払いを強制すると共に、企業がランサム被害をより隠しづらくする効果があります。

 

ReVilは2段階の攻撃による身代金要求が一般的です。機密データ漏えい暗号化されたデータの復号鍵を元に企業に身代金の支払いを強制する事から、「二重恐喝」とも呼ばれています。

 

別な海外記事には、REvilランサムオペレータが1か月以上ブラウン・フォーマンの内部ネットワークに侵入していた事が伺える記載がありました。

攻撃によって発表された声明によると、悪魔の乗組員は1か月以上ブラウン・フォーマンのシステムにアクセスできました。その間、彼らは系統的にシステムとデバイスを探索することができました。同社のクラウドベースのサービスでさえ手が届きませんでした。

Forbes記事より引用)※機械翻訳

 

関連記事を見る限り、(今の所)ブラウン・フォーマン社はランサムを支払うつもりは無い様ですが、裏で交渉は続いているかも知れません。

「私たちは法執行機関および世界クラスのサードパーティのデータセキュリティ専門家と緊密に協力して、この状況をできるだけ早く緩和して解決するようにしています」と簡単な声明で付け加えました。「積極的な交渉はありません。」

 (Infosecurity Magazine記事より引用)※機械翻訳

 

内部データの暗号化(2段階目)を食い止めている事を考えると、ブラウン・フォーマンは防衛に半分成功したのですが、初期侵入からのデータ漏えいを防げなかった事で今回苦しんでいます。

 

従来のランサム攻撃であれば、防衛に成功していた可能性もあるのですが、最近はランサムオペレータ―(ハッカー)側も戦略を変えつつあります。

※従来通り、ファイルの暗号化だけを狙ったランサム攻撃もあります

 

最近気を付けるべき彼らの戦略の変化は、以下の4点です。

 

①2重脅迫 

暗号化の前に大量の機密データを盗まれてしまうので、今回の様に暗号化拡散(2段階目の攻撃)を食い止められても、身代金を支払う事を要求されます。

②積極的な情報公開

ランサムオペレーター側がリークサイトで攻撃成功を発表してしまうので、企業側がランサム被害を隠ぺいしづらくなってきています。

③リモートアクセス狙い

今回の事件がそうであったかは分かりませんが、REVilランサムの攻撃では、リモートアクセスの脆弱性(※Pulse Security VPNの既知の脆弱性等)を狙って内部ネットワークに侵入されたケースが報告されています。

④データオークション

より高い値段をつけた落札者が漏えいデータを入手する方式での漏えいデータ販売が出てきています。企業側からすると、ライバル企業、攻撃を狙う別なハッカーも含めて誰が落札するか分からない事から、企業が身代金を払う可能性が高くなると推測されます。

 

ランサム側は(コロナ禍を受けて)戦略を変化させているのだとすれば、防衛側の企業もセキュリティ戦略を進化させるべき時期に来ているのだと思います。

 

 

本日もご来訪ありがとうございました。

Thank you for your visit. Let me know your thoughts in the comments.

 

バーボンのイラスト(ウイスキー) 

 

更新履歴

  • 2020年8月19日 AM(予約投稿)