世界最大のコンピューターネットワーク機器メーカーのシスコシステムズ(米カリフォルニア州)が今年5月にハッキングを受けていたことが明らかになりました。1人の従業員のGoogleアカウントが侵害され、ボイスフィッシング攻撃と多要素認証(MFA)攻撃で不正アクセスを許したようです。シスコが攻撃を明らかにした直前、Yanluowangランサムウェアが攻撃を表明し流出ファイルを公表していました。しかし、シスコは侵害の事実を認めつつも、ランサムウェア攻撃の被害は否定しています。
攻撃を表明したYanluowangランサムウェアとは
シスコへの攻撃を表明したYanluowangとは、どのようなランサムウェアなのでしょうか?Yanluowangランサムウェアは、2021年10月にシマンテックによって発見されたランサムウェアで、少なくとも2021年8月以降、アメリカの企業に対して標的型攻撃を仕掛け、当初は金融業界をターゲットにしているとみられていましたが、製造、ITサービス、エンジニアリング等さまざまな業種の企業を標的に活動をしているようです。暗号化されたファイルの拡張子が.yanluowangであることからYanluowangランサムウェアと呼ばれているようです。ちなみにyanluowangとは閻魔(えんま)大王を意味するようです。シマンテックによるとYanluowangランサムウェア攻撃で使われているツールや戦術はThieflockランサムウェアに関連付けられることから、YanluowangランサムウェアはThieflockランサムウェアと関連している可能性があるということです。
シマンテックによると、ThieflockランサムウェアはCanthroid(別名Fivehands)というグループによって開発されたRaaSで、Yanluowangランサムウェアによる攻撃とCanthroid(別名Fivehands)グループによるThieflockランサムウェア攻撃を含む攻撃との間には重複がみられるものの、同一である証拠はなく、このことから、Canthroid(別名Fivehands)のRaaSツールによって攻撃を行っていたアフィリエイトがYanluowangランサムウェア攻撃を行っている可能性があるということです。
シスコ「攻撃者はUNC2447、Lapsus$、Yanluowangと関係あるIAB」
また、マンディアントによると、ヨーロッパと北米の組織を標的にしている金銭的な動機を持つ脅威グループUNC2447のRaaSアフィリエイトによって2020年5月から12月にかけてHello Kittyランサムウェアが、2021年1月頃からはFivehandsランサムウェアが展開されており、UNC2447がRagnarLockerランサムウェアを展開していたことも確認しているということです。よってCanthroid(別名Fivehands)とUNC2447は同じグループか、関係を持つグループだと考えられます。
シスコは攻撃について「製品開発など重要な内部システムへのアクセスには至っていない」としており、初期段階で攻撃を除去し、その後も攻撃者は繰り返しアクセスを図ったものの試みは失敗に終わったと表明しています。そのうえで攻撃者について「UNC2447、Lapsus$、Yanluowangランサムウェアオペレーターと関係のある初期アクセスブローカー(IAB)として以前に特定された者」の可能性を指摘しています。
シスコが指摘するLapsus$は、南米を拠点にしているハッカー集団で2021年にブラジル保健省のシステムを攻撃するなどしています。またIABとはランサムウェアの攻撃を実際に行うグループに不正アクセスの情報を提供している人やグループを言うようです。ランサムウェア攻撃は、ランサムウェアを開発・運用しているグループとそれら犯罪インフラを使って実際に攻撃をしているアフィリエイトと呼ばれているグループに分担され、そのような犯罪ビジネス化されたランサムウェアをRaaSと呼んでいるわけですが、さらに攻撃者に初期アクセスの情報を提供するブローカーを担う人やグループがあり、シスコの見解では今回、シスコを攻撃したのは以前にそうした初期アクセスブローカーとして特定された者、グループだということです。
■出典
https://blog.talosintelligence.com/2022/08/recent-cyber-attack.html
https://www.jpedia.wiki/blog/en/Yanluo_Wang
https://xtech.nikkei.com/atcl/nxt/mag/nnw/18/111900071/031500029/