攻撃的防御:被害者が DDoS を使用して、ランサムウェアギャングの二重恐喝の脅威を中和します。

サイバーセキュリティ業界は、米国政府と名前を明かせない国際的パートナーとの協力によってランサムウェアギャング REvil がオフラインにされたというニュースで賑わっています。taken offline

バイデン大統領が 7月に仄めかした「デジタル報復」を見ているようだ。 hinted at in July

米国司法省 (The U.S. Department of Justice) は、ランサムウェア攻撃をテロリズムに沿った優先レベルに引き上げるにあたり、ダーク Web フォーラムに侵入し、ランサムウェアギャングのインフラをハッキングして、彼らがもたらす脅威を積極的に中和する手段を実施しました。 elevating ransomware attacks


公表されたテイクダウンは先週実施されましたが、IntSights の調査研究員チームも、過去 2ヶ月間に渡り同様の活動を観察しており、興味を持って見守っています。
これは、長期的にランサムウェアオペレーターの戦術に影響を与えることになるでしょう。

被害者の反撃


IntSightsの調査研究員チームは、サイバー犯罪の被害者が攻撃者の Web サイトに対して DDoS 攻撃を仕掛けたとされる 2 つの各々の事件を観察しました。

第一に、ランサムウェア・ギャンググループの LockBit は、 インサイダー対応のランサムウェア攻撃を通じて米国の公開企業の独自企業データを含むファイルを入手したなどの大規模な脅威をもたらしました。ransomware group LockBit

企業が反応しないと、LockBit はその企業に対して DDoS 攻撃を仕掛けました。

しかし、その最中で起こった最も興味深いことは、LockBit のサイトが数日間オフラインになったという事実でした。

基本認証(ユーザーパスワード)の背後でオンラインに戻った時、LockBit 自体が DDoS 攻撃を受けているという事態が、ハッカーコミュニティに拡散されました。

Hackers chatting on popular Russian cybercrime forum about the apparent LockBit takedown (redactions by IntSights)

LockBit のインフラは、約 3 〜 4 週間の間、不安定な状況が続き利用できませんでした。また、ダウンロードするリークもありませんでした。

これは、以前にブログで公開された全てのデータ(サンプル、証拠パック、完全なアーカイブ)を意味します。


IntSights 調査研究員チームが観察した 2番目のデジタル報復の事例には、Marketo が盗んだデータのアンダーグラウンド市場と特定の米国の州の軍事部門が関係していました。

Marketo は、政府機関に属するデータのオークションを開始したと同時にプラットフォームの全てのエントリに対して行うように、商品が揃っていることを証明する無料の証拠パックを公開しました。

LockBit の場合と同様に、Marketo 自体が DDoS 攻撃を受けた時、状況は急速に変化しました。

公表された声明の中で、Marketo は攻撃は政府機関のせいとし、Reddit だけでなく数十の公的且つ軍事志向のフォーラムで重要なデータを公表すると宣言しました。

This Marketo statement against its DDoS attacker was published on multiple channels including Twitter and Telegram, as well as their own blog and its users’ blogs (redactions by IntSights)

報復の根拠


これらの DDoS 攻撃は、民間企業へのハッキングに関連することが多く、侵入して活動する寸前で止まる可能性がありますが、復讐をする動機になるかも知れません。 private sector hack back

犠牲者側は、論理的根拠に基づいており、単なる復讐ではありません。
ダークウェブサーバーやウェブサイトからのサービスを拒否すると、本質的にハッカーの武装が解除されます。

二重恐喝攻撃者は、別の身代金を支払わない限り、被害者の盗んだデータを公開すると脅迫してきます。Double extortion attackers
彼らは他の悪意のあるエンティティにデータを販売することさえあります。
これを行うには、自分が本人であり、データに価値があることを裏付けるプラットフォームが必要です。

彼らのサイトがこの目的の為に利用できない場合、彼らの脅威は横ばい状態になります。

DDoS 攻撃は、限られた期間しか実行できない為、永久に無力化することはできません。 inflaming the hacker community

しかし、デジタル報復ハックの数が増えると、攻撃者が目立たないターゲットを追いかけるのに十分なほど破壊的になる可能性があります。
例えば、自然界の抑止力を参考にしてください。捕食者がスカンクを追いかけると、非常に臭いスプレーの犠牲者になります。そして、捕食者はスカンクを追いかけるのを諦めて、より戦闘力の低いターゲットを追求しだします。それと同じです。

セキュリティを保つには、予算を多く費やすことが必要とか、安全を確保することは利用者側が不便になることであると認識するようになっています。

言い換えれば、イギリスの哲学者ハーバード・スペンサーが提唱し、ダーウィンが『種の起源』の中で使った適者生存(社会的な競争の厳しさ)です。

盗まれたデータの販売を困難にするために攻撃グループに対して DDoS することは、これを達成する 1 つの方法です。これらの DDoS 攻撃は、ハッカーコミュニティに火をつけています。彼らは驚きにとらわれ、誰もが、米国政府にショックを受けました。

上記の様に、彼らの成功しているビジネスモデルをあえて混乱させます。
これらの「攻撃的防御」活動が定期的に行うことで、ランサムウェアギャングの恐喝のパターンが変わるかどうかは、時が経てばわかります。


最新動向をアップデート!

ブログを一読して、IntSights の最新情報や業界ニュースをインプットしませんか!

ビジネス用メールアドレスのご登録で、IntSightsのブログ・ニュース・レター を配信いたします。