Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

Darksideランサムは株式トレーダーを巻き込む

企業の嫌がりそうなDarksideの恐喝手法が新たに編み出された様です。Darksideランサムオペレータは、リーク情報を事前に株式トレーダーに提供すると発表しました。

securityaffairs.co

ランサムウェアギャングは、株価に悪影響を与える可能性のある情報を漏らすと脅迫している企業に圧力をかけ、トレーダーが株価の下落から利益を得ることができるようにすることを目的としています。

これは、サイバー犯罪エコシステムにおける前例のない戦術です。
ただし、この発表は、身代金要求を支払わないと、市場リストに影響を与え、一部の被害者に要求された身代金を支払うように促すほどの否定的な報道をもたらす可能性があるとハッキングされた企業を脅かす間接的な方法としても機能します。

(Security Affairs記事より引用)※機械翻訳

 

キタきつねの所感

Mazeが2重恐喝(リークサイト活用)の手法を編み出したのが2019年だったと思いますが、漏えいデータのオークション、DDoS攻撃、漏えい対象個人へのメール送信・・・と、ランサム被害を受けた企業にとっては事件の隠蔽(内々の処理)が難しくなる様な、ランサムオペレータの脅迫手法が増えてきています

うした中、去年から登場したDarksideランサムオペレータが活発化しています。RaaS(Ransomware-as-a-Service)を2020年8月にプレスリリースし、現在彼らのリークサイトには40以上の被害者のデータが公開されている様です。

 

Kaspersky日本語ブログ記事がありましたので以下画像をいくつか引用しますが、 彼らの攻撃技術や実績もさる事ながら、企業で言う「広報」機能が、他のランサムオペレータには無い特徴と言え、英語圏の企業を狙った攻撃が多いので日本ではそう話題にはなっていませんが、彼らの攻撃手法(狙ってくる脆弱性)については、注意が必要な気がしています。

DarkSide Leaksのメディア向けページ

※本題とあまり関係が無いので割愛しますが、Kasperskyの記事には復号サービス企業との連携や、事前寄付、倫理原則(製薬会社や教育機関、政府機関は攻撃対象外)といった、DarkSideランサムの分析結果があります(日本語記事)

注目すべきが、上記画像の2点目で、「データ漏洩を投稿前に通知すること。未公開情報を受け取ることができること。」のプレス向けの情報提供部分が、今回のSecurity Affairsの記事で新たに登場した「株式トレーダー」へ情報提供(リーク)すると変えただけにも思えますが、想定される影響を考えると、違う手法と言っても過言ではないかと思います。

 

改めて、DarkSideオペレータの新しい発表を見てみると、

※Security Affairs記事より引用

(リーク情報による)株価への影響が大きそうなNASDAQ企業を(も)対象としており、企業の嫌がりそうな点を上手く突いている気がします。

またランサムグループを摘発する警察側から見ても、一見無害な金銭目的なトレーダーがノイズとして入ってくる事になるので、捜査の妨害(攪乱)になってくるかも知れません。

 

余談となりますが、今年1月のEmotetテイクダウンや、2月のEgregorの一部メンバー逮捕等の影響もあり、昨年活発だった大手ランサムオペレータの最近の活動は鈍い気がします。

blog.trendmicro.co.jp

www.itmedia.co.jp

 

Foixも2月に突如活動停止を宣言してマスター鍵を公開するなど、ランサム側に司法の手が伸びているかも知れないという警戒感があったのがこの背景にあった気がしますが、Darksideランサムの”新しい攻撃手法”は、ランサム側の「答え」の1つとなる(=他のランサムオペレータも効果があると分かれば取り入れていく)可能性を感じます。

こうしたランサム側の戦術の進化に対し、防衛側の早期の情報キャッチアップ、及び対抗策の更なる拡充(の検討)が必要なのだと思いますが、まだまだ重い腰を上げない企業が多い気がします。

ランサム被害を受けても「支払えばよい」と”許容”出来る様な企業であれば問題が無いのでしょうが、AcerがREvilに要求されたとされる5,000万ドル(期限超えると1億ドル)、あるいはAppleのサプライヤのQuanta ComputerもREvilから5,000万ドル(約55億円)と、企業の懐具合を見ながら、ランサムオペレータも高額な身代金を要求してくるケースも増えていますので、こうしたリスクを考えた上で、企業はセキュリティ対策の強化(予算)を図るべきかと思います。

別な海外記事でDarkSideが要求する身代金は20万ドル~200万ドルとありましたので、REvilよりは一回り規模の小さな企業(組織)を狙っている事が分かります。

Appleがハッカーから「身代金を払わなければ未発表情報をバラす」と脅迫されていることが判明 - GIGAZINE

Acerがランサムウェア被害に、身代金は史上最高額の50億円以上 - GIGAZINE


Darksideの特徴に関しての別記事がありましたので、参考まで。

www.infosecurity-magazine.com

彼らは、WindowsバージョンのDarkside 2.0は、他のどのサービスとしてのランサムウェア(RaaS)よりも高速にファイルを暗号化し、前の反復の2倍の速度であると主張しています。これは、被害者がネットワークが感染していることに気付いた場合、プラグを抜く時間がさらに短くなることを意味します。

Darkside 2.0は、WindowsバージョンとLinuxバージョンの両方でマルチスレッド機能も備えています。

LinuxバージョンのランサムウェアはVMwareESXiの脆弱性を標的にすることができるようになりました。つまり、仮想マシンを乗っ取って仮想ハードドライブを暗号化することができます

また、SynologyやOMVなどのネットワーク接続ストレージNAS)をターゲットにして、被害者のシステムをさらに広範囲に暗号化するように設計されていると、Kela氏は述べています。

最後に、Darkside 2.0は、アフィリエイトが被害者、パートナー、さらにはジャーナリストに無料でVoIP通話を発信できるようにする「callonus」機能を備えています。ここでの目的は、犠牲者に支払いをするように余分な圧力をかけることです

(Infosecurity Magazine記事より引用)※機械翻訳

 

もう1つ余談です。直近のDarkSideのリークサイトには小森コーポレーションの海外子会社「Komori America」が掲載されている様です。

 

 

 

本日もご来訪ありがとうございました。

Thank you for your visit. Let me know your thoughts in the comments.

 

インサイダー取引のイラスト

 

更新履歴

  • 2021年4月25日 AM