カプコンなどを襲ったサイバー攻撃 背後に「ランサムウェアカルテル」の存在?

 大阪市に拠点を置く大手ゲームメーカーのカプコンがランサムウェア攻撃を受けたことが国内で大きなニュースになりました。カプコンによるとサーバーが暗号化され35万件もの個人情報が流出した可能性があるということです。身代金要求がありランサムウェアRagnar Lockerによる攻撃とみられています。カプコンでランサムウェア攻撃が発覚した2週間ほど前にはヨーロッパの2つのゲーム会社がランサムウェアEgregorによる攻撃を受けたことが明るみになりました。Ragnar LockerとEgregor、この2つのランサムウェアは最近閉鎖されたランサムウェアMazeと関わりがあるようです。

Ragnar LockerとEgregor

 カプコンを攻撃したRagnar Lockerは2019年12月に登場したランサムウェアです。身代金の支払いを拒むとWebサイト「Wall of Shame」に窃取したデータを公開するいわゆる二重脅迫型のランサムウェアとして知られています。企業がチャットで交渉した場合、サイトにはチャットとのやりとりも公開されるということです。最近、Ragnar Lockerが企業に対する脅迫に、ハッキングしたfacebookアカウントの広告キャンペーンを悪用しニュースになりました。

 Ragnar Lockerは今年11月、リキュールのカンパリで知られるカンパリ・グループに対する攻撃で1500万ドルをビットコインで支払うよう要求、ハッキングしたfacebookアカウントを悪用して脅迫の広告キャンペーンを展開しました。不正広告として削除されるまでの間に7000人を超すfacebookユーザーに表示されたということです。窃取したデータを公開することを広く発信することで企業に身代金支払いの圧力をかけることが目的とみられ、脅迫行為がさらにエスカレートしている実態があると言えます。

 一方、Egregorは今年9月に登場した新しいランサムウェアです。Ragnar Lockerと同じく二重脅迫型で、支払いが実行されないと窃取したデータがEgregorNewsというサイトに公開されるということです。Egregorはフランスを拠点とするコンピュータゲームの開発・販売会社、Ubisoftへの攻撃やドイツに拠点を置くコンピュータゲーム会社、Crytekへの攻撃などで名前が知られるようになりました。UbisoftとCrytekへの攻撃は今年10月にあり、その後、Ragnar Lockerによるカプコンへの攻撃が11月に行われたことからゲーム関連企業へのランサムウェア攻撃が相次いだかっこうです。

Maze犯行グループとの関係

 EgregorはランサムウェアSekhmetの亜種と考えられており、ランサムウェアMazeとの関係も指摘されていることを前回の記事で紹介しました。Mazeは2019年5月に登場し二重脅迫や標的型など昨今、見られるランサムウェア攻撃の最初のマルウェアとして知られています。Mazeの犯行グループは今年11月にダークウェブのサイトに閉鎖を表明したことからニュースになりました。しかし、多くのサイバーセキュリティの専門家はランサムウェア攻撃の終結宣言とはとらえておらず、Mazeから新たなマルウェアに乗り換えたとの見方をしています。パロアルトネットワークスの脅威分析チームUNIT42は最近のレポートで、Egregorの動向を分析しMazeの活動が減少する一方でEgregorの活動が活発化してきたことを指摘しています。また、ソフォスもMazeの後継をEgregorとするレポートを発表するなど、Mazeの犯行者がEgregorに乗り換えたとの見方が有力です。

 ところでカプコンを攻撃したRagnar LockerもMaze犯行グループとの関係が指摘されています。今年6月、Ragnar Lockerの犯行グループがMaze犯行グループの「カルテル」に参加したとの報道がありました。ロシア・モスクワに拠点を置くセキュリティベンダー、カスペルスキーのレポートは、Maze犯行グループはRagnar Lockerの犯行グループなどともに「ランサムウェアカルテル」を形成しており、Ragnar Lockerの犯行で使われていた手法がMaze犯行グループでも使用されるようになり、攻撃手法や知識を共有していると指摘しています。また、アメリカに拠点を置くサイバーセキュリティのファイア・アイは、Mazeは複数のパートナーと連携して攻撃を行っているとの見方をしています。

 Mazeの後継と目されているEgregor、そしてMazeの犯行グループと手を結んだと見られるRagnar Locker。ヨーロッパと日本のゲーム会社を立て続けに襲ったランサムウェア攻撃の背後には「ランサムウェアカルテル」とも言える犯罪者集団の蠢きがあるのかもしれません。

■出典

https://www.capcom.co.jp/ir/news/html/201116.html

https://www.bleepingcomputer.com/news/security/campari-hit-by-ragnar-locker-ransomware-15-million-demanded/

https://www.bleepingcomputer.com/news/security/ransomware-gang-hacks-facebook-account-to-run-extortion-ads/

https://cybersecurity-info.com/column/qakbot%e3%81%8b%e3%82%89%e6%96%b0%e3%81%9f%e3%81%aa%e3%83%a9%e3%83%b3%e3%82%b5%e3%83%a0%e3%82%a6%e3%82%a8%e3%82%a2egregor%e3%82%92%e5%b1%95%e9%96%8b%e3%81%97%e6%94%bb%e6%92%83%e3%80%80%e4%bb%8a/

https://unit42.paloaltonetworks.jp/egregor-ransomware-courses-of-action/

https://www.fireeye.com/blog/jp-threat-research/2020/05/tactics-techniques-procedures-associated-with-maze-ransomware-incidents.html

https://www.group-ib.com/whitepapers/egregor-ransomware.html

https://news.sophos.com/en-us/2020/12/08/egregor-ransomware-mazes-heir-apparent/

https://www.bleepingcomputer.com/news/security/maze-ransomware-adds-ragnar-locker-to-its-extortion-cartel/

https://securelist.com/maze-ransomware/99137/

https://www.fireeye.com/blog/jp-threat-research/2020/05/tactics-techniques-procedures-associated-with-maze-ransomware-incidents.html

 

NO IMAGE
最新情報をチェックしよう!