Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

黒いゴールドラッシュ

つぶやいてみた。

ランサムは現代の「黒いゴールドラッシュ」なのだと改めて実感します。2021年初となる、新たなオペレータが確認された様です。

www.bleepingcomputer.com

今年は新年であり、人為的な攻撃で企業の被害者を標的とするBabukLockerと呼ばれる新しいランサムウェアが登場します。

Babuk Lockerは、2021年の初めに開始されて以来、世界中からの犠牲者の少数のリストを集めてきた新しいランサムウェア操作です。

BleepingComputerが見た被害者との身代金交渉から、ビットコインでの需要は60,000ドルから85,000ドルの範囲です。

(Bleeping Computer記事より引用)※機械翻訳

 

キタきつねの所感

Bleeping Computerの記事で、Babuk Lockerという企業・組織を狙う新たなランサムオペレータの手法が分析されていました・この記事を読んでいて、2021年もランサム(多重脅迫)が猛威を振ってしまう可能性を強く感じました。

 

Babuk Lockerは、コーディング手法などに穴があったり、ランサム交渉のチャットでも”実装ミス”があり、既存のオペレータの様に比べて「手慣れていない」感がありますが、暗号化手法に楕円曲線アルゴリズムを使ったりと、企業からランサム(身代金)をせしめるには必要十分な機能を兼ね備えています。

「アマチュアのコーディング手法が使用されているにもかかわらず、楕円曲線ディフィーヘルマンアルゴリズムを利用する強力な暗号化スキームは、これまでのところ多くの企業を攻撃するのに効果的であることが証明されています」とドンは報告書で述べています。

(Bleeping Computer記事より引用)※機械翻訳

 

記事の元ソースは、こちらの記事の様です。

chuongdong.com

 

リークサイトの画像サンプルは、どうやらドイツのヘルスケア関連企業が100GBのデータ被害を受けたものの様です。

f:id:foxcafelate:20210106072451p:plain

chuongdong記事より引用

身代金メモは既存のオペレータと同じ様な感じですが、

バブクロッカー身代金メモ

Bleeping Computer記事より引用

 

「攻撃の変化(深化)」を感じたのが、身代金交渉のチャット画面サンプルです。少し見にくいですが、2行目に「被害者がサイバー保険に加入しているか」「ランサムウェア回復会社と協力しているか」を聞いています。

(一般的な)交渉術の1つかと思いますが、短期間に最大の身代金を得る為の質問だと感じました。

※ランサムオペレータとの会話はこうした記事であまり見かけた事がないので、既に一般化している戦術なのか分かりませんが、サイバー保険に入っているから安心・・・という企業・組織には要注意な、ある意味回答に困る質問だと思います。

Babuk LockerTorが被害者とチャット

Bleeping Computer記事より引用

※長くなりそうなので割愛しますが、引用元サイトでは、このランサムについてのコード分析や暗号化部分の分析もされているのでご興味ある方はご覧になると良いかと思います。

 

Beeping Computerの記事で最も気になったのが、1月初旬に出てきたとされるBabuk Lockerランサムオペレータが、既に5社の攻撃に成功している事です。

Babuk Lockerは現在、ハッカーフォーラムを使用して、盗んだデータを漏えいしています。Babuk Lockerには現在、世界中から5人の既知の犠牲者がいます。

エレベーターとエスカレーターの会社
オフィス家具メーカー
自動車部品メーカー
医療検査製品メーカー
アメリカの冷暖房会社
犠牲者の少なくとも1人は、85,000ドルの身代金を支払うことに同意しました。

(Bleeping Computer記事より引用)※機械翻訳

 

実際の攻撃は去年だったと思われますが、新しいランサムオペレータ(市場参入者)が(多少のミスはありながらも)すぐに成果を上げてしまう、これが現状なのだと思います。2021年も昨年に引き続き、Darkなハッカーによる「ゴールドラッシュ」参入者が増えてくる可能性がある、その事を念頭に企業・組織側は自身の体制を常に見直す事が求められていると言えそうです。

 

 

余談です。ランサム攻撃を受けた場合、カスペルスキー等によって提供されているNo More Ransomプロジェクト(※日本語サイトあります)をまずはご覧になって、対処法(一部復号方法含む)を確認されるかと思います。

しかし、こうした新たなランサムオペレータが雨後の筍の様に登場してくる様だと、防衛側(被害者)にとっては有効な対処法が無い状態で短期判断を迫られる事になるかも知れません。

www.nomoreransom.org

 

本日もご来訪ありがとうございました。

Thank you for your visit. Let me know your thoughts in the comments.

 

ハッカーのイラスト(セキュリティー)

 

更新履歴

  • 2021年1月6日 AM