米連邦捜査局(FBI)はこのほど、OnePercent Groupと呼ばれるサイバー犯罪グループによるランサムウェア攻撃についての業界向けアラートを発出しました。米サイバーセキュリティ企業のレコーテッド・フューチャーが運営するメディア、The RecordによるとOnePercent Groupはランサムウェアのアフィリエイトだということです。FBIはアラートでOnePercent Groupの脅迫手口の詳細を明らかにしています。
「窃取データの1%を漏えいするぞ」と脅迫
FBIのアラートによると、OnePercent Groupは昨年11月以降、アメリカの企業に対してランサムウェア攻撃を仕掛けているようです。その手口は、フィッシングメールによってトロイの木馬IcedIDに感染させ、IcedIDによって追加のペイロードを展開、Cobalt Strikeを使用してネットワークを横方向に移動し、Rcloneを使用してサーバーからデータを窃取し、データを暗号化します。
そして、ランサムウェアを展開しデータを盗んで暗号化したことを伝えるメモを被害企業のネットワーク内に残します。被害企業がメモに応じず連絡をしてこないと、電話でしつこく要求したり、交渉のために暗号化されたメールアドレスを提供したりするようです。それでも被害企業が応じない場合は、窃取したデータの1%の漏えいを示唆して脅迫し、それでも応じないとデータをオークションで販売して公開すると脅迫するということです。1%の漏えいを脅迫の手法としていることからOnePercent Groupと呼ばれているようです。身代金を支払わせるためにあの手この手で被害企業を脅す実態が伺えます。
REvilと関係するアフィリエイトか
FBIのアラートは、OnePercent Groupと関わりのあるランサムウェアについて明らかにしていませんが、The Recordの記事によると、REvil(Sodinokibi)ランサムウェアの開発者と長年、協力関係にあるアフィリエイトで、またMazeランサムウェアやEgregorランサムウェアとも関係があるようです。今年5月にブラジルにある世界最大の食肉加工会社JBSに対して行われたランサムウェア攻撃はREvilによるものとみられていますが、この攻撃ではアメリカ国内にあるJBSの食肉加工拠点も一時操業停止に追い込まれるなど大きな影響が出ました。
二重脅迫型と呼ばれているランサムウェア攻撃の多くは、ランサムウェアを開発して管理をする犯罪者または犯罪組織と、ランサムウェアを購入またはレンタルして企業を攻撃するグループに分かれており、実行グループはアフィリエイトと呼ばれています。ビジネスとしてのランサムウェア、RaaS(Ransomware as s Service)を展開しているランサムウェアの開発・管理者はアフィリエイトを傘下に有し、サイバー犯罪をビジネス化することによって莫大な違法収益を得ています。
ランサムウェアのアフィリエイトをめぐっては、今年1月に米司法当局がNetWalkerランサムウェアのアフィリエイトの男を起訴、この男はNetWalkerのアフィリエイトプログラムによって少なくとも2760万ドル(約29億円)の犯罪収益を得た疑いが持たれ、また、NetWalkerだけでなくREvilやRagnarlockerなどのアフィリエイトプログラムにも関係していた疑いがあるということでした。今回、FBIはOnePercent Groupによるランサムウェア攻撃についてアラートを発出して手口などの詳細を明らかにしました。アラートは業界に向けたFBI FLASHとして発出されたもので、攻撃について技術的に解説をするとともに、推奨されるテクニカルな対策についても記載して企業に対応を促しています。
■出典
https://www.ic3.gov/Media/News/2021/210823.pdf
https://therecord.media/fbi-sends-its-first-ever-alert-about-a-ransomware-affiliate/