Nokia の米子会社に Conti ランサムウェアが侵入した

Nokia subsidiary discloses data breach after Conti ransomware attack

2021/08/23 BleepingComputer — Nokia の米子会社である SAC Wireless は、Conti ランサムウェアによる攻撃を受け、ネットワークへの侵入と、データの窃取、システムを暗号化を許し、また、データが流出したことを公表した。米国イリノイ州シカゴに本社を置く Nokia 子会社である SAC Wireless は、米国内の通信事業者および、基地局、OEM 企業などと取引を行っている。SAC Wireless は、5G および、4G LTE、スモールセル、FirstNet などの、セルラー・ネットワークの設計/構築/アップグレードなどを顧客に提供する企業である。

Conti ランサムウェアによる暗号化の後に攻撃を検知

SAC Wireless は、6月16日に Conti ランサムウェアによりネットワークが侵害されたことを検知したが、ペイロードの展開により同社のシステムが暗号化された後のことであった。Nokia の子会社は、現在および過去の従業員の個人情報 (健康保険の被扶養者または受益者を含む) も盗まれている発見した。8月13日に、外部のサイバー・セキュリティ専門家の協力を得て、フォレンジック調査を行った結果、ランサムウェア攻撃により個人情報が盗まれていたことが判明したという。その影響を受けた非公開の個人に送られたデータ侵害通知書の中で、「Conti は同社のシステムにアクセスし、クラウド・ストレージにファイルをアップロードした後の 6月16日に、システム上のファイルを暗号化した」と、SAC は述べている。

フォレンジック調査の結果、盗まれたファイルには、以下のカテゴリーの個人情報が含まれていると考えられる。氏名および、生年月日、連絡先 (自宅住所、電子メール、電話など) 、政府機関のID番号 (運転免許証、パスポート、軍人証など) 、社会保障番号、市民権の有無、勤務先情報 (役職、給与、評価など) 、病歴、健康保険契約情報、ナンバープレート番号、デジタル署名、結婚証明書または出生証明書、確定申告書情報、扶養家族、受益者名。今回のランサムウェア攻撃を受けて、SAC は今後の侵害を防ぐために、以下のような対策を講じた。

・ファイアウォールのルールの変更
・VPN 接続の解除
・米国外からのアクセス制限のための、ジオロケーション・ポリシーの有効化
・従業員への追加トレーニングの実施
・ネットワークおよびエンドポイントの監視ツールを追加導入
・多要素認証の拡大
・脅威検知ツール、エンドポイント検知/対応ツールを追加導入

2週間前の8月12日に、BleepingComputer は SAC Wireless に対して、この攻撃に関する追加情報を求めたが、同社の広報担当者は、ランサムウェアの関与についての詳細な情報提供を拒否した。SAC の広報担当者は、「事件を認識しており、現在調査を行っている。この事件の評価を継続しながら、適切な保護措置や予防措置を講じるよう関係者と連絡を取っている」と述べていた。

Conti は 250GB のファイルを盗んだと主張

SAC Wireless はランサムウェア攻撃を認めず、被害の程度に関する詳細な情報を提供しなかった、Conto ランサムウェアは、250GB 以上のデータを盗んだことをリークサイトで明らかにした。最近の更新情報によると、Nokia の子会社が要求した身代金を支払わない場合、このランサムウェア・グループは、すべての摂取したファイルをオンラインでリークすると述べているようだ。Conti ランサムウェア は、ロシアを拠点とするサイバー犯罪グループ Wizard Spider が管理していると思われる、プライベートな Ransomware-as-a-Service (RaaS) である。Conti は、Ryuk ランサムウェアとコードの一部を共有している。そして、Ryuk が活動を縮小した 2020年7月以降に、その TrickBot の配布チャネルを利用し始めた。

最近の Conti は、アイルランドの Health Service Executive (HSE) および Department of Health (DoH) に侵入しているが、前者に対しては、システムを暗号化した上で $20 million の身代金を求めている。また、5月に FBI は、Conti のオペレーターたちが、米国の 10以上の医療機関や救急隊員組織の、ネットワークへの侵入を試みたと警告している。ただし、今月の初めには、不満を抱いたアフィリエイトたちが、Conti のトレーニング資料を流出させた。その中には、Conti 攻撃を行うアフィリエイトに提供されたとされる、オペレーターに関する情報や、Cobalt Strike と mimikatz のデプロイメント・マニュアル、多数のヘルプ・ドキュメントなどが含まれるという。

このところ、LockBitLockFile の動きが活発ですが、Conti も負けずに動き始めたようです。Colonial PipelineKaseya のインシデント以来、REvil が活動を停止しましたが、それぞれのランサムウェア・ギャングが、このところ活発です。ただ、Conti に関しては、「Conti ランサムウェアが内部分裂:怒りのアフィリエイトが Play Book を暴露した」にあるように、内紛を引きずっているようです。今回の Nokia への侵害も、どの Conti の犯行なのか、ちょっと分かりませんね。また、前日の「AT&T の 7000 万人分の顧客データが流出か?」とも、「T-mobile 1億人分の顧客データが盗まれた:背景には FBI / CAI への報復が」とも、まったく関連していないような感じです。

%d bloggers like this: