Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

BancoEstadoのREVilランサム被害

チリの大手銀行、BancoEstadoがREVilランサムの被害を受けてすべての支店を閉鎖する被害を受けた様です。

www.zdnet.com

チリの3大銀行の1つであるBancoEstadoは、週末に発生したランサムウェア攻撃を受けて、月曜日にすべての支店を閉鎖せざるを得ませんでした。

銀行は月曜日にツイッターのアカウントで発表した声明で、「私たちの支店は営業しておらず、今日も閉鎖されたままです」と述べた。

(ZD Net記事より引用)※機械翻訳

 

BancoEstadoの発表(Twitter)

 

キタきつねの所感

海外のインシデントとは言え、銀行業務が停止するまで深刻な被害が出たケースは珍しいかも知れません。

 

今日(9/9)の投稿も確認してみましたが、まだ全面復旧してない様で、利用可能な店舗を知らせる投稿がされていました。

全ネットワークを皆様にご利用いただけるよう、微力ながら作業を続けています。

・ここでは、利用可能な支店・事業所の情報を更新しています

 

このインシデントについて、銀行側からは発表されてない様ですが、ZDNetが関係者筋からの情報として、「銀行の内部ネットワークがREVil(Sodinokibi)ランサムに感染している」と報じています。

 

さらに記事では踏み込んで書かれており、これを見ると何が銀行内で起きたのか概ね推測できます。

インシデントは現在、従業員が受け取って開いた悪意のあるOfficeドキュメントから発生したものとして調査されています。悪意のあるOfficeファイルが銀行のネットワークにバックドアをインストールしたと考えられています。

調査官は金曜日と土曜日の夜に、ハッカーがこのバックドアを使用して銀行のネットワークにアクセスし、ランサムウェアをインストールしたと考えています。

週末のシフトで働いている銀行の従業員は、土曜日に自分の作業ファイルにアクセスできなかったときに攻撃を発見しました。

(中略)

当初、銀行は気付かれない攻撃からの回復を望んでいたが、ソースによると、内部サーバーと従業員のワークステーションの大部分をランサムウェアが暗号化していたため、被害は甚大であった。

(ZD Net記事より引用)※機械翻訳

 

一部の行員がフィッシングメール添付ファイルを開いてしまった可能性が高い様です。

 

その後内部にバックドアマルウェア)を仕掛けられ、ラテラルムーブメント(横移動)され、銀行のIT部門が手薄になる週末の夜にランサム攻撃を仕掛けた。こんな状況だった様です。

 

銀行のウェブサイト、ネットバンキング、モバイルアプリ、ATMはセグメントされていて無事だった様ですが、恐らくメールシステムと社内業務用のネットワークが同じセグメントだった為に、ランサムの拡散が早く、すぐには回復できない状況に追い込まれたと言えそうです。

 

REVilランサムオペレータ(ハッカー)は、ランサム(暗号化)攻撃を仕掛ける前に、銀行内の機微な情報を窃取する2重恐喝を得意とするランサムオペレータで、リークサイトを運営していますが、9/7の時点ではリークサイトにBancoEstadoのリーク情報が掲載されてないと報じられており、銀行側がランサムオペレータと「交渉中」である可能性を示唆しています。

 

大手銀行であるが故に、外部に公開されると困る機微な情報が既にREVilにより窃取された可能性が高く、銀行側としては厳しい対応を迫られているものと推測されます。

 

日本の銀行(金融機関)でこの手の攻撃が成立するかは分かりませんが、フィッシングメール(添付ファイル)について十分警戒すべきかと思います。

 

 

余談です。おそらくBancoEstadoのインシデントを受けてだと思いますが、チリのCSIRTが民間企業を標的としたランサムキャンペーンへの注意喚起(9/6)を出した様です。

 

 

本日もご来訪ありがとうございました。

Thank you for your visit. Let me know your thoughts in the comments.

 

 防犯用カラーボールを投げる人のイラスト

 

更新履歴

  • 2020年9月9日 AM