Crimson Collectiveという脅威が任天堂を侵害したと主張していることがメディアで報じられました。Crimson Collectiveとは何者なのでしょうか?
無名の脅威グループから一転
Crimson Collectiveの名前が知られるようになったのはつい最近のことで、特にRed Hatへの侵害を主張したことで広くその名前が知られるようになりました。Crimson Collectiveは10月2日、IBMの子会社で企業向けオープンソースソフトウェアベンダーのRed Hatへの侵害をダークウェブの投稿で主張し、身代金を支払わなければ盗んだ数百ギガバイトのデータを公開すると脅しました。Red Hatは10月2日のセキュリティアップデートでRed Hatコンサルティングの社内コラボレーションで特定の業務に使用されていたGitlabインスタンスへの不正アクセスを検知していたことを明らかにするとともに、徹底的な調査を開始し、第三者によるアクセスを削除し関係当局に通報したと発表しました。Red Hatによると、攻撃者はGitlabインスタンスから一部のデータにアクセスしてコピーしていたということです。
Crimson Collectiveは、Red Hatを侵害してデータを盗んで金銭を要求しており、警察庁が言うところのノーウェアランサム、つまりサイバー恐喝グループです。しかし、サイバーセキュリティの専門家の間では必ずしも名前が知られた存在ではなかったようです。Unit42によれば、Crimson Collectiveは最近、データ窃盗・恐喝犯罪に「参入」した新参グループで、それまでは知られていないグルーブだったということです。逆に言うと無名のサイバー犯罪グループだったCrimson Collectiveがデータ窃盗・恐喝に参入したことで頭角を現し始めたようです。Crimson CollectiveはRed Hatへの恐喝にとどまらず、AWSクラウド環境を積極的に標的としていて、引き続きデータ窃取と恐喝に注力しているということです。そのような中で任天堂への侵害が主張されていることは押さえておく必要があると思います。
Scattered Lapsus$ Huntersと連携
Unit42によれば、Crimson Collectiveは少なくとも1つのテレグラムチャンネルを運営して自らの犯罪行為をアピールする手法をとっており、また、Salesforceインスタンスを侵害したサイバー恐喝で10億件以上のデータを盗んだと主張しているScattered Lapsus$ Huntersの一派であるShiny Huntersのツールを使用しているようです。Shiny Huntersはメディアに対して、協力関係にある脅威アクターからサイバー恐喝で得た金銭の25~30%を得ていることを明らかにしており、ビジネス化されたランサムウェアRaaSと同様にビジネス化されたサイバー恐喝EaaSがアンダーグラウンドで形成されているとみられます。Crimson Collectiveがデータ窃取・恐喝に参入し頭角を現し始めた背景にはScattered Lapsus$ HuntersやShiny Huntersとの連携があるようです。
サイバー犯罪ビジネスとしてEaaSが今後、サイバー犯罪グループ間に浸透し拡大していけば組織に対するサイバー恐喝はさらに増えていく可能性があります。こうしたサイバー恐喝はプラットフォームを侵害して機密データを窃取していることから、Unit42はコードリポジトリや設定ファイル、窃取された可能性のあるデータ内の秘密情報やハードコートされた認証情報を効率的にスキャンすることに役立つTruffleHogなどの自動化ツールを活用することを対策としてあげています。
【引用】
https://www.redhat.com/en/blog/security-update-incident-related-red-hat-consulting-gitlab-instance
https://unit42.paloaltonetworks.com/scattered-lapsus-hunters/