光学機器、電子機器の世界的なメーカー、オリンパス(本社・東京都新宿区)は、今年9月8日に中東・アフリカ地域(EMEA)で、また10月10日には米州(アメリカ、カナダ、ラテンアメリカ)でサイバー攻撃を受けたことを明らかにしています。報道によれば、オリンパスは2度にわたりランサムウェア攻撃を受けたようです。
活動を停止したDarkSideとの関連指摘
9月8日にオリンパスで発生した攻撃について、テクノロジーニュースサイトのテックチャーチは、BlackMatterによるランサムウェア攻撃だと伝えています。感染したコンピューターに残されていた身代金メモに記されているTorのサイトが、BlackMatterランサムウェア攻撃グループが被害者との通信で使用しているサイトと同じだったことからBlackMatterによるランサムウェア攻撃だと特定されたようです。
サイバーセキュリティのEmisoftによると、BlackMatterは今年7月下旬にロシアの犯罪フォーラムで最初に観察された暗号通貨を要求するランサムウェアの亜種で、サービスとしてのランサムウェア(RaaS)として動作するということです。年間売上高が1億ドルを超える大企業をターゲットにしており、今年6月にアメリカでコロニアルパイプラインへのランサムウェア攻撃を行い、その後、活動を停止したDarkSideと関連があるということです。
BlackMatterに対しては、10月18日に米国土安全保障省のサイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)と米連邦捜査局(FBI)、米国家安全保障局(NSA)が共同のセキュリティアドバイザリを発出しており、BlackMatterが今年7月以降、アメリカの食品および農業セクター組織を含む複数の重要なインフラ組織を標的にしてきたことを明らかにして侵害のリスクを軽減する対策をとるように求めています。
米制裁指定の露サイバー犯罪グループの犯行か?
一方、オリンパスが10月10日に受けたサイバー攻撃については、Macawという新しいランサムウェアの亜種が使われており、Macawはロシアを拠点とするサイバー犯罪グループ、EvilCorp(別名INDRIK SPIDER)によって作成されたとの報道がなされています。また、ブルームバーグによると米テレビ放送局運営会社のシンクレアブロードキャストグループもMacawによるランサムウェア攻撃を受けたようです。
Macawを作成したとされるEvilCorpは、認証データなどを盗むマルウェアDridexによる金融犯罪グループとして知られており、また、BitPaymerをリリースしてランサムウェアビジネスにも参入、Dridex に感染したネットワークを利用してBitPaymerを配布していたということです。EvilCorp は2019年に米財務省より制裁対象に指定され、その主要なメンバーとみられるロシア人2人は米司法当局により起訴されています。
サイバーセキュリティ、CROWDDSTRIKEは今年3月のブログで、INDRIK SPIDER(EvilCorp)がアメリカの制裁指定と司法当局による起訴の後、2020年3月から5月まで小休止し、その後、ランサムウェアのWastedLockerを導入、WastedLockerがさらにHadesランサムウェアへと派生したことを明らかにしています。また、サイバーセキュリティ、パロアルトネットワークスの脅威インテリジェンスチームUnit42によると2019年6月に最初に公開されたランサムウェアのDoppePaymerはランサムウェアBitPaymerのファミリーの一部と見なされ、背後にいる脅威アクターとしてINDRIK SPIDER(EvilCorp)をあげています。
メディア報道によると、EvilCorpは米より制裁指定されているため、被害企業との間に交渉会社が入ると交渉会社が制裁対象になります。身代金請求をスムーズに行うためにEvilCorpは新しいランサムウェアによってEvilCorpの攻撃を隠し制裁を回避することを目論んでいるようで、Macawもそのために新しく作成されたランサムウェアのようですが、MacawがEvilCorpによって作られたことを裏づける具体的な情報はまだ明らかではありません。メディア報道が正しければ、オリンパスは9月にDarkSideと関連があるランサムウェアBlackMatterによる攻撃を受け、10月にはEvilCorpによるランサムウェアMacawによる攻撃を受けたということです。2つの攻撃に関連性があるのか、今のところ異なるグループによる攻撃と見られているようですが、攻撃の背景については詳らかではありません。
■出典
https://www.olympus-global.com/news/2021/an02202.html
https://www.olympus.co.jp/news/2021/nr02221.html
https://techcrunch.com/2021/09/12/technology-giant-olympus-hit-by-blackmatter-ransomware/
https://www.speartip.com/resources/olympus-investigating-blackmatter-attack-on-emea-it-systems/
https://blog.emsisoft.com/en/39121/ransomware-profile-blackmatter/
https://us-cert.cisa.gov/ncas/alerts/aa21-291a
https://techcrunch.com/2021/10/20/olympus-americas-ransomware-evil-corp/
https://www.crowdstrike.com/blog/hades-ransomware-successor-to-indrik-spiders-wastedlocker/
https://unit42.paloaltonetworks.jp/ransomware-threat-assessments/4/