Kaseya を襲った REvil ランサム被害が拡大している

REvil is increasing ransoms for Kaseya ransomware attack victims

2021/07/04 BleepingComputer — REvil ランサムウェア・ギャングは、金曜日の Kaseya ランサムウェア攻撃における身代金の要求額を増やしている。REvilのようなランサムウェア・ギャングが攻撃を行う際には、財務情報や、サイバー・セキュリティ保険契約、盗み出したデータなどを分析することで、被害者の支払い能力を確かめる。そして、暗号化したデバイス数や、盗み出したデータ量をもとに交渉を行い、被害者が支払えると思われる金額を、身代金として提示する。

しかし、今回の Kaseya VSA サーバへの攻撃では、REvil のターゲットは顧客ではなく、MSP (managed service provider) だった。そのため、この脅威アクターは、暗号化した MSP の顧客に対して、どれだけの身代金を要求すべきかを判断できなかった。したがって、このランサムウェア・ギャングは、MSP に対して $5 million という基本的な身代金を要求し、また、顧客に対しては $44,999 という遥かに少額の身代金を要求したとされる。

しかし、この $44,999 という数字は、BleepingComputer が保持している多数の交渉チャットにおいて、ランサムウェア・ギャングたちが最初の要求額を守らないことから、無意味なものだと判断できる。結果として、REvil は従来からとは異なるやり方をとり、Kaseya ランサムウェアの被害者に対して、暗号化したファイル拡張子ごとに、$40,000 〜 $45,000 を要求することになった。1ダース以上の暗号化されたファイル拡張子を持っているという被害者に対してが、ネットワーク全体を復号化するための $500,000 の身代金を要求している。

しかし、幸なことに、REvil はネットワークを暗号化しただけであり、それ以上のことを望んでいないようだ。つまり、被害者のデータは、盗み出されていない可能性が高いことになる。もし、データが盗まれているなら、交渉の段階でデータを見せつけるはずだからだ。また、このランサムウェアが攻撃の前に、被害者のネットワークにアクセスしていないことも分かる。それに代えて、Kaseya VSA の脆弱性をリモートから悪用することで、暗号化ツールを配布し、被害者のデバイス上で実行したと思われる。

以前のポストにもあるように、このゼロデイ脆弱性は DIVD の研究者により発見され、Kaseya にも開示されていたものでした。残念なことに、この脆弱性は REvil にも発見されており、パッチの準備が整う前の金曜日に、つまり米国の独立記念日に合わせて攻撃が開始されました。そして、約500店舗の閉鎖を余儀なくされたスウェーデンのスーパーマーケット Coop や、スウェーデンの薬局チェーン、SJ の交通機関などへの攻撃を含め、1,000社以上の企業が影響を受けたと見られています。文中で指摘されているように、MSP を狙った攻撃は、これまでとは異なる被害状況を生み出すようです。なお、バイデン大統領は、この攻撃に関する調査を指示しましたが、攻撃の発信源がロシアであるとまでは明言していません。また、FBI も調査を開始し、CISA などの機関と緊密に連携していることを発表しました。

%d bloggers like this: