Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

DoppelPaymerの嫌がらせ手法

つぶやいてみた。

DoppelPaymerランサムオペレータがランサム被害企業への電話を使った恐喝(身代金の間接的強要)をしているとFBIがアラートを出している様です。

securityaffairs.co

FBIから民間組織に送信された民間産業通知アラート(PIN)によると、Bureauは2020年2月以降に発生している恐喝活動を認識しています。

今月初め、Arete IncidentResponseのIRおよびサイバー脅威インテリジェンスのディレクターであるEvgueniErchovは、身代金を支払わずにバックアップから復元しようとすると、複数のランサムウェアギャングがコールドコールの被害者になるとZDNetに語った 。この犯罪行為は、8月以降、セクメト、コンティ、リュークを含むいくつかのギャングによって採用されています

(Security Affairs記事より引用)※機械翻訳

 

元ソース(FBI

 

キタきつねの所感

ランサムウェアは今年一番の脅威だったと言っても過言ではないかと思います。FBIは、ランサムオペレータの1つDoppelPaymerに対する注意喚起(PIN)を12/10に出しました。

きちんと調べた事が無いのですが、名が知れたランサムオペレータは20を超えているかと思います。この内の1つDoppelPaymerは、ロシアの関係があると言われ、去年の6月頃から活動が活発になり、ランサムの被害企業に対して高額の身代金を要求する事でも知られています。

 

日本でも多数のメディアが報じていましたが、今年9月にドイツのデュセルドルフ病院がランサム攻撃を受け、救急隊員が病院と連絡を取る事が出来なくなり、別な病院に搬送され、患者がその後死亡した事件がありましたが、これもDoppelPaymerの関与だったと言われています。

www.newsweek.com


FBIのアラートを読むと、DoppelPaymerは、医療・救急・教育機関を中心に攻撃をしている様ですが、追加の戦術として「電話」を使った脅迫(嫌がらせ)をしている事が書かれており、今後こうしたランサムオペレータの戦術の変化に注意が必要な気がします。

「2020年2月の時点で、DoppelPaymerの攻撃者は、ランサムウェアの感染を追跡し、脅迫や侵入データの公開を脅迫することで被害者に支払いを強要するよう呼びかけていました。あるケースでは、北朝鮮にいると主張しながら、偽装された米国ベースの電話番号を使用している俳優が、身代金を支払わなかった場合、特定された企業からデータを漏えいまたは販売すると脅迫しました。」FBIのPINを述べています。「その後の同じ会社への電話中に、俳優は個人を従業員の自宅に送ると脅し、従業員の自宅の住所を提供しました。俳優はまた、従業員の親戚の何人かに電話をかけました。

(Security Affairs記事より引用)※機械翻訳

 

日本で同じ攻撃が成り立つか?と考えてみると、「英語で電話をかけてきても・・・」電話の内容をほとんど理解できない方が日本企業には多いので、ランサムオペレータ側も流石にそうした戦術をそのまま日本に適用してくる事は考えられませんが、日本企業を脅迫する為に特化した攻撃に化ける可能性は十分に考えられます。

※(あまり具体的には書けませんが)私でしたら、例えばランサム被害を受けた事実を重く捉えるマスコミや、取引先企業へリークする戦術を採るかと思います。

 

ランサムオペレータは、攻撃戦術をここ1年で大きく進化させています。活動を停止したMazeが始めたオークション形式(※オークション参加にはデポジットが必要だったりと良く考えられています)であったり、今年大流行中の「2重脅迫」もそうです。

www.ipa.go.jp

 

厄介な事に、ランサムオペレータ側は、良い攻撃手法があればそれを貪欲に取り入れて(コピーして)利益の最大化を図ろうとしています。今回の電話での脅迫(嫌がらせ)についても、既に主要ランサムオペレータが採用しています。

そう考えると攻撃手法の深化(海外セキュリティニュース)に国内企業はもっと敏感であるべきだと思いますし、そもそもハッカーに不正侵入されない」「不正侵入があってもすぐ検知できる様にする」事に対して、優先順位を上げて対策を進めていくべきだと思います。

 

因みに、FBIの推奨緩和策は以下の通りです。企業や組織によってできる事できない事があるかとは思いますが、(オフライン)バックアップ、監視/監査、多要素認証、最小権限付与と、全てセキュリティの世界では当たり前の事が書かれています。

ランサムオペレータが去年の倍以上の収益を上げている事を考えると、当たり前の事をしっかりとやらない企業や組織は、近い将来(来年)大きな授業料を払う事になるかも知れません。

・バックアップが安全であり、各バックアップセッションの終了時にネットワークから切断されていることを確認します。
・ユーザーアカウント、特に一般にアクセス可能なリモート監視および管理アカウントを定期的に監査します。オペレーティングシステム、ソフトウェア、ファームウェア、およびエンドポイントにパッチを適用します。
インバウンドおよびアウトバウンドのネットワークトラフィックを監視します。データ漏えいのアラートを設定します。
・アクターが被害者の電子メールアカウントを管理している可能性があるため、ユーザーのログイン資格情報に2要素認証を適用し、電子メールではなくテキストで応答を受信します。
・ファイル、ディレクトリ、およびネットワーク共有のアクセス許可に最小特権を実装します。

(Security Affairs記事より引用)※機械翻訳

 

本日もご来訪ありがとうございました。

Thank you for your visit. Let me know your thoughts in the comments.

 

 絡む人のイラスト

 

更新履歴

  • 2020年12月18日 AM