Kaseya 社へのランサムウェア攻撃: 恐喝は複数回繰り返されます。


Kaseya(米国:ソフトウェアベンダー)への ランサムウェア攻撃は、単一のソフトウェアベンダーまたはサービスプロバイダー・ネットワークが侵害された場合に発生する可能性のある、進行中の繰り返し請求される恐喝の事例です。

Kaseya 社は暗号化されたデータをすべて復号できるユニバーサル復号化キーを取得したことで、影響を受ける顧客にデータを返し、サービスの再開をすることができると言及していますが、それは潜在的な死の灰の落下(フォールアウト)を止めることを示したものではありません。universal decryptor key

恐喝はゲームです

復号化を容易にするために、5,000 万ドルから 7,000 万ドル(約 58億円から約78億円)の身代金の全額または一部が攻撃者に支払われたと仮定しましょう。

恐喝は、複数回繰り返される恐喝のうちの最初の 1回目に過ぎません。

2 回目の恐喝は、サイバー攻撃の一部として盗まれたデータを公開する脅威になります。 double extortion

この盗まれたデータは、Kaseya 自体、そして Kaseya の MSP 顧客、更に Kaseya MSP の顧客の顧客からのものである可能性があります。 MSP

7月 2日の攻撃を行ったランサムウェアギャングである REvil は 、この二重の恐喝戦術で知られています。 For example

例えば、2021年 4月、REvil ランサムウェア・ファミリーのオペレーターは、Apple の台湾でのサプライヤーである Quanta Computer 社 に攻撃したと主張しました。

攻撃者は、開示の潜在的なビジネスおよび評判への影響を最大化するために、Macbook 新製品の設計図など、Apple の知的財産として公表したものの最初の開示のタイミングを Apple 製品発売に日と一致させました。
また、Quanta Computer 社は、事件が発生したことを確認しましたが、身代金の支払いを拒否した以外の詳細情報は殆ど提供していませんでした。

その後、攻撃者は Apple からの支払いを求めることに重点を置き、より多くの Apple の知的財産を開示すると二重の恐喝と脅迫を行いました。

粗 2年間で、REvil はランサムウェアブログを運営し、約 300社を攻撃し、盗まれたデータ(サンプルと完全なアーカイブ)を公開しました。

「REvil は彼らの Webサイトを停止した」と表明しています。

最近、新しいランサムウェア・ブログ HARON の様に、REvil も Web サイトを再開するか、新しいエイリアス(別名)で新しい Web サイトを立ち上げることができます。(HARON は、先月運用を停止したとされるランサムウェアグループであるAvaddon の生まれ変わりであると疑われています。) supposedly shut down

あるいは、REvil は、「データ漏えいのブラックマーケット」を介してサードパーティの再販業者を利用することもできます。

これらのブラックマーケットは、基本的に、他のベクトルの中でも、攻撃者と販売者の間のコラボレーションに基づいています。

このシナリオでは、攻撃者自身( REvil )がデータを直接販売することは無いため、取引にさらされたり、時間を費やしたりすることを危うくすることはありません。

ランサムウェアやリークサイトが組織とその顧客にもたらす脅威の詳細について、またはランサムウェアの進化を先取りする方法についての説明は IntSightsのホワイトペーパー「進化するランサムウェアの脅威:ビジネスリーダーがデータ漏洩について知っておくべきこと」をご一読ください。

The Evolving Ransomware Threat: What Business Leaders Should Know About Data Leakage

最新動向をアップデート!

ブログを一読して、IntSights の最新情報や業界ニュースをインプットしませんか!

ビジネス用メールアドレスのご登録で、IntSightsのブログ・ニュース・レター を配信いたします。