HOYAのアメリカ子会社を攻撃したランサムウェアAstro Lockerとは?

 アメリカの子会社がサイバー攻撃を受けたHOYA株式会社(本社・東京都)。2年前にはタイの工場がサイバー攻撃を受けています。今回はAstro Lockerというランサムウェアによる攻撃だということです。

MountLocker 、RagnarLockerと関係か

 HOYAのプレスリリースによると、今回、サイバー攻撃を受けたのはHoya Optical Labs of America, Inc.というメガネレンズ事業のアメリカ子会社だということです。HOYAは2019年にタイの工場で、コンピューターに暗号通貨のマイニングを不正に行うクリプトジャッキングのマルウェアを仕掛けられ、工場の操業に大きな支障が出たほか東京本社のコンピューターも影響を受けたことが報じられています。今回はAstro Lockerというランサムウェアによる攻撃を受けたということです。プレスリリースによれば、被害の影響は北米に限定されていて、本社等のシステムへの影響はないようです。Astro Lockerとはどのようなランサムウェアなのでしょうか?

 AIによる自立型セキュリティプラットフォームを提供しているSentinelOneによると、Astro Lockerは今年3月に登場した新しいランサムウェアです。Astro Teamによって配布されており、2020年7月頃から活発に活動をしているランサムウェアMountLockerと関係があるようです。MountLockerはデータを窃取して二重脅迫を行い、要求に応じないとダークウェブサイトにデータを公開する今日の典型的なランサムウェアです。犯罪ビジネスとして展開されるRansomware-as-a-Service(RaaS)として知られています。SentinelOne によると、MountLockerは、ゲームメーカーのカプコンを攻撃したランサムウェアRagnarLockerとも関係があるということです。SentinelOneではSentinelOne Singularity Platformによって、Astro Lockerに関連する悪意のある動作やアーティファクトは防止、検出、軽減されるとして、保護の様子を動画で紹介しています。

三井物産セキュアディレクション「構造や挙動は非常に単純」

 サイバーセキュリティ対策の支援を手がける三井物産セキュアディレクション(東京都)は、Astro Lockerに関する詳細をブログで明らかにしています。それによると、Astro Lockerの攻撃者は標的にした企業にメールを送りつけているということです。メールの内容は以下のようなものだということです。

我々はあなたのネットワークに侵入し、1ヶ月以上にわたってコントロールし、あなたのドキュメントを調べ、機密情報をダウンロードし、あなたのコンピュータを暗号化しました。

あなたの機密情報は、私たちのニュースサイトやパートナーのウェブサイトに掲載された後、公開されてしまいます。********.onionにTorブラウザ経由でアクセスし、すべてのコンピュータのReadManualファイルに掲載されているクライアントIDを入力して、安全な交渉を開始してください。パスワードは最初から必要ありませんので、空欄にしておいてください。チャットは完全に安全でセキュアです。パスワードを設定することで、公開された交渉を保護できます。

万が一、72時間以内にご連絡いただけない場合は、お客様の情報を特別なサイトで公開させていただきます。

良い一日をお過ごしください。

 三井物産セキュアディレクションのブログによると、Astro Lockerには、暗号化されたファイルをダブルクリックすると脅迫文が常に開くという特徴があるようです。また、Astro LockerとMountLockerは挙動が類似しているということですが、Astro Lockerは「構造や挙動としては非常に単純で、あまり洗練されていない開発者像が垣間見える」としていて、攻撃そのものに新たな手法は見られず従来のランサムウェアと同等の脅威だと評価しています。

■出典

https://ssl4.eir-parts.net/doc/7741/announcement1/68319/00.pdf

https://www.bleepingcomputer.com/news/security/cyber-attack-shuts-down-hoya-corps-thailand-plant-for-three-days/

http://www.datarecoveryspecialists.co.uk/blog/what-is-the-mountlocker-ransomware

https://www.mbsd.jp/research/20210415/astro-locker/

最新情報をチェックしよう!